UserGate UTM Руководство администратора Entensys | Administrator's Guide www.entensys.com Содержание Введение ..................................................................................................................................... 5 Безопасность сети и защита от сетевых угроз ............................................................................................................... 5 Межсетевой экран ............................................................................................................................................................................ 5 Обнаружение и предотвращение вторжений ..................................................................................................................... 5 Облачный антивирус ....................................................................................................................................................................... 5 Шлюзовой антивирус для фильтрации файлов и вложений ......................................................................................... 6 Антиспам и антивирусная проверка почтового трафика ............................................................................................... 6 Стойкая защита от современных угроз ................................................................................................................................... 6 Улучшение производительности и надежности интернета .................................................................................... 6 Поддержка резервного канала ................................................................................................................................................... 6 Управление трафиком, балансировка канала ...................................................................................................................... 6 Кэширование ....................................................................................................................................................................................... 6 Высокая отказоустойчивость ....................................................................................................................................................... 7 Управление трафиком и контроль доступа в интернет ............................................................................................. 7 Контроль доступа в интернет ...................................................................................................................................................... 7 Идентификация пользователей .................................................................................................................................................. 7 Поддержка концепции BYOD (Bring Your Own Device) ..................................................................................................... 7 Контент-фильтрация и контроль приложений .............................................................................................................. 7 Интернет-фильтрация ..................................................................................................................................................................... 8 Глубокий анализ контента ............................................................................................................................................................. 8 Контроль использования социальных сетей........................................................................................................................ 8 Поддержка фильтрации HTTPS ................................................................................................................................................... 8 Блокировка баннеров, всплывающих окон и скриптов слежения ............................................................................. 8 Контроль приложений .................................................................................................................................................................... 9 Другие функции............................................................................................................................................................................ 9 Мониторинг и статистика в реальном времени .................................................................................................................. 9 Публикация ресурсов ...................................................................................................................................................................... 9 Балансировка нагрузки .................................................................................................................................................................. 9 DHCP-сервер и DHCP-релей ......................................................................................................................................................... 9 Удаленное администрирование ............................................................................................................................................... 10 Первоначальная настройка ................................................................................................. 11 Управление устройством ..................................................................................................... 14 Общие настройки ..................................................................................................................................................................... 14 Дашборд ....................................................................................................................................................................................... 17 Установка лицензии ................................................................................................................................................................ 18 Кластеризация и отказоустойчивость ............................................................................................................................ 19 Резервное копирование и восстановление первоначальных настроек ........................................................ 24 Экспорт и импорт настроек ................................................................................................................................................. 26 Обновление ПО ......................................................................................................................................................................... 27 Интерфейс командной строки (CLI) ................................................................................................................................. 27 Управление сертификатами ................................................................................................................................................ 30 Использование корпоративного УЦ для создания сертификата SSL дешифрования ..................................... 33 Экспорт журналов .................................................................................................................................................................... 35 Мониторинг с помощью SNMP ........................................................................................................................................... 37 Управление доступом к консоли UserGate UTM ......................................................................................................... 39 Настройка сети ........................................................................................................................ 43 Настройка зон ............................................................................................................................................................................ 43 Настройка интерфейсов ........................................................................................................................................................ 45 Настройка шлюзов ................................................................................................................................................................... 46 Entensys | Administrator's Guide 2 Настройка DHCP ........................................................................................................................................................................ 47 Настройка DNS ........................................................................................................................................................................... 48 Маршруты .................................................................................................................................................................................... 50 Пользователи и устройства ................................................................................................. 51 Пользователи ............................................................................................................................................................................. 52 Группы ........................................................................................................................................................................................... 52 Серверы авторизации ............................................................................................................................................................ 52 Сервер авторизации Active Directory ..................................................................................................................................... 53 Сервер авторизации пользователей Radius ....................................................................................................................... 54 Сервер авторизации Kerberos ................................................................................................................................................... 55 Настройка Captive-портала .................................................................................................................................................. 56 Пользователи терминальных серверов ........................................................................................................................ 61 Агент авторизации для Windows ....................................................................................................................................... 62 Временные пользователи..................................................................................................................................................... 63 Политики BYOD .......................................................................................................................................................................... 65 Политики сети .......................................................................................................................... 68 Межсетевой экран ................................................................................................................................................................... 69 NAT и маршрутизация ............................................................................................................................................................ 70 Правила NAT ...................................................................................................................................................................................... 71 Правила DNAT ................................................................................................................................................................................... 72 Правила маршрутизации ............................................................................................................................................................. 73 Балансировка нагрузки ......................................................................................................................................................... 73 Пропускная способность ...................................................................................................................................................... 76 Управление политиками безопасности ........................................................................... 78 Фильтрация контента ............................................................................................................................................................. 79 Запросы в белый список ....................................................................................................................................................... 82 Веб-безопасность ..................................................................................................................................................................... 83 Настройка дешифрования HTTPS ..................................................................................................................................... 85 Система обнаружения и предотвращения вторжений .......................................................................................... 87 Защита почтового трафика .................................................................................................................................................. 89 Оповещения ............................................................................................................................. 93 Профили оповещений ............................................................................................................................................................ 93 Правила оповещений ............................................................................................................................................................. 94 Библиотеки элементов.......................................................................................................... 96 Морфология ................................................................................................................................................................................ 96 Сервисы ........................................................................................................................................................................................ 99 IP-адреса ....................................................................................................................................................................................... 99 Типы контента .......................................................................................................................................................................... 100 Списки URL ................................................................................................................................................................................. 101 Календари .................................................................................................................................................................................. 105 Полосы пропускания ............................................................................................................................................................ 106 Шаблоны страниц ................................................................................................................................................................... 106 Категории URL .......................................................................................................................................................................... 108 Приложения .............................................................................................................................................................................. 109 Почтовые адреса .................................................................................................................................................................... 109 Номера телефонов ................................................................................................................................................................. 110 Статистика ............................................................................................................................. 111 Entensys | Administrator's Guide 3 Мониторинг............................................................................................................................................................................... 111 Мониторинг сети .......................................................................................................................................................................... 111 Трафик ............................................................................................................................................................................................... 111 Статистика .................................................................................................................................................................................. 111 Отчеты контентной фильтрации ........................................................................................................................................... 111 Журнал правил .............................................................................................................................................................................. 112 История поиска ............................................................................................................................................................................. 113 Журналы ..................................................................................................................................................................................... 113 Журнал событий ............................................................................................................................................................................ 113 Журнал трафика ............................................................................................................................................................................ 113 Журнал СОВ ..................................................................................................................................................................................... 113 Журнал веб-доступа .................................................................................................................................................................... 114 Установка внешнего сервера статистики .................................................................................................................... 114 Техническая поддержка .................................................................................................... 116 Приложение 1. Установка сертификата локального удостоверяющего центра 117 Установка сертификата в браузеры Internet Explorer, Chrome в ОС Windows............................................ 117 Установка сертификата в браузер Safari, Chrome в ОС MacOSX ....................................................................... 122 Установка сертификата в браузер Firefox ................................................................................................................... 124 Приложение №2. Таблица соответствия категорий, указанных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений, с категориями Entensys URL Filtering 3.0. ......................................................................... 127 Entensys | Administrator's Guide 4 Введение UserGate UTM представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий в себе межсетевой экран, маршрутизацию, шлюзовой антивирус, систему обнаружения и предотвращения вторжений (IDPS), VPN-сервер, систему контентной фильтрации, модуль мониторинга и статистики и многие другие функции. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы. Безопасность сети и защита от сетевых угроз Межсетевой экран Встроенный в UserGate UTM межсетевой экран фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов. Обнаружение и предотвращение вторжений Система обнаружения и предотвращения вторжений (IDPS - Intrusion Detection and Prevention System) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности обычно происходит с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется компанией Entensys. Система IDPS отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал. Облачный антивирус Облачный антивирус, разработанный и поддерживаемый компанией Entensys, позволяет обеспечивать высокий уровень защиты пользователя без уменьшения производительности системы. Модуль позволяет передавать в облако сигнатуры закачиваемых файлов и скриптов, где они проверяются на предмет сравнения с известными опасными приложениями. Entensys использует ежечасно обновляемую базу, содержащую на данный момент несколько сотен тысяч опасных сигнатур и наполняемую с помощью ряда непроприетарных систем и "песочниц" (sandboxes). Данный подход крайне эффективен при высокой нагрузке, так как блокирует вредоносные файлы, включая так называемые "проблемы нулевого часа", не сказываясь негативно на скорости работы системы. Entensys | Administrator's Guide 5 Шлюзовой антивирус для фильтрации файлов и вложений Для любой организации критически важно защитить от вирусов и шпионских программ трафик, входящий в локальную сеть. UserGate UTM использует антивирусный движок Лаборатории Касперского для проверки входящего и исходящего трафика. Антиспам и антивирусная проверка почтового трафика UserGate UTM способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)) и производить его проверку не наличие спам-сообщений и вирусов. Стойкая защита от современных угроз UserGate UTM способен обнаруживать в загружаемом контенте, скриптах, файлах как известный, так и до сих пор неизвестный вредоносный код. Различные модули продукта занимаются анализом возможных угроз и их предотвращением. К ним относятся межсетевой экран, система обнаружения и предотвращения вторжений, модуль контроля приложений (на уровне L7), облачный антивирус, модуль интернет-фильтрации, использование репутационных сервисов и специальные подгружаемые черные списки. Сочетание всех этих средств, анализ кода и репутации файлов и скриптов - все это позволяет администраторам ИТ-безопасности легко и эффективно предотвращать распространение сетевых угроз до момента, когда они заражают конечные устройства. Улучшение производительности и надежности интернета Поддержка резервного канала UserGate UTM обеспечивает возможность переключения между доступными интернет-каналами от различных провайдеров, что позволяет существенно повысить надежность и отказоустойчивость интернет-доступа. Управление трафиком, балансировка канала Функция управления трафиком позволяет расставить правильные приоритеты, чтобы нивелировать негативное влияние пользователей или приложений, потребляющих существенный трафик, на других пользователей. Все это позволяет обеспечивать гарантированное качество работы приложений, критичных для работы предприятия. Кэширование Кэширование ускоряет работу интернет с помощью загрузки контента из предварительно сохраненного локального хранилища. Кэшируемый контент хранится в оперативной памяти сервера (RAM-Cache), что позволяет существенно увеличить скорость работы интернета. Entensys | Administrator's Guide 6 Высокая отказоустойчивость Функция высокой отказоустойчивости (High Availability) позволяет кардинально снизить риски, которые могут возникать в связи со сбоями в работе аппаратного обеспечения, на котором установлен UserGate UTM. Данная функция позволяет устанавливать систему на парных узлах и автоматически переключать между ними нагрузку в случае сбоев. В решении реализована поддержка кластеризации и поддержка отказоустойчивого кластера VRRP (active-passive). Управление трафиком и контроль доступа в интернет Контроль доступа в интернет UserGate UTM обеспечивает контроль работы веб-приложений и доступа в интернет с помощью создания правил, основанных на персонализированной политике. Это обеспечивает разноуровневый доступ к сетевым ресурсам и позволяет распределять ширину канала между различными приложениями и сервисами. Функция контроля доступа в интернет также позволяет автоматически применять настройки безопасности к отдельным пользователям и объектам сетевой инфраструктуры. Идентификация пользователей UserGate UTM поддерживает аутентификацию пользователей и применение к пользователям правил межсетевого экранирования, контентной фильтрации, контроля приложений с поддержкой таких средств и протоколов аутентификации, как Active Directory, Kerberos, RADIUS, LDAP. Администраторы могут применить определенные политики безопасности к любому пользователю, группе пользователей или, например, ко всем неизвестным пользователям. Дополнительно к этому продукт поддерживает аутентификацию через веб-интерфейс типа Captive-портал, применение правил к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также использование агента авторизации для Windows-платформ. UserGate UTM поддерживает управление временными пользователями, создаваемыми администратором системы или самостоятельно зарегистрированными с подтверждением через SMS или Email. Поддержка концепции BYOD (Bring Your Own Device) Возможно применение специальных правил доступа к любым устройствам, включая ноутбуки, планшеты, смартфоны, используемыми пользователями. UserGate UTM позволяет устанавливать ограничения на максимальное число устройств на одного пользователя (общее и одновременно используемых), а также задать список конкретных устройств, которые пользователь может использовать для получения доступа в сеть. Контент-фильтрация и контроль приложений Entensys | Administrator's Guide 7 Интернет-фильтрация Использование модуля интернет-фильтрации значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Глубокий анализ контента UserGate UTM осуществляет морфологический анализ веб-страниц на наличие определенных слов и словосочетаний. Это позволяет контролировать доступ к конкретным разделам сайта, не блокируя ресурс целиком на уровне категории или домена. Подобный подход достаточно актуален для различных социальных сетей, форумов и других порталов, в наполнении которых значительную роль играют пользователи (Web 2.0). Решение использует специальные морфологические словари, составленные на основе требований законодательства РФ: "Нецензурная лексика", "Порнография", "Суицид", "Наркотики", "Терроризм", "Запрещенные материалы из списка министерства Юстиции РФ". Контроль использования социальных сетей UserGate UTM дает возможность блокировки игр и других приложений для наиболее популярных социальных сетей, таких как Facebook, ВКонтакте, Одноклассники. Администраторы могут разрешать использование социальных сетей в целом, при этом контролируя и ограничивая непродуктивные действия. Также поддерживается фильтрация отдельных страниц и групп в социальных сетях по признакам наличия экстремистского контента, нецензурных выражений и другим критериям. Поддержка фильтрации HTTPS Наряду с обычным нешифрованным трафиком UserGate UTM может быть настроен и для фильтрации HTTPS-трафика. При этом сервер на лету осуществляет подмену сертификата и использует полный набор методов фильтрации трафика, включая морфологическую контентфильтрацию. Блокировка баннеров, всплывающих окон и скриптов слежения UserGate UTM позволяет блокировать баннеры и всплывающие окна. В ряде случаев на сайтах отображается контент из баннерных сетей, который не имеет прямого отношения к владельцам сайтов и ими не контролируется. Как следствие, эти баннеры часто содержат негативные изображения или же могут вести на опасные ресурсы. "Вырезание" таких баннеров является эффективной мерой защиты и значительно повышает безопасность использования интернета. Использование интернета практически каждым пользователем эффективно отслеживается рядом крупных компаний, включая Google, Facebook и другие, владеющими социальными сетями, Entensys | Administrator's Guide 8 порталами, поисковиками. UserGate UTM позволяет блокировать скрипты, которые обеспечивают наблюдение за поведением пользователя в интернете. Контроль приложений Функция контроля приложений на основе обновляемых баз сигнатур может быть использована в правилах межсетевого экрана и правилах пропускной способности. Это обеспечивает защиту от угроз, связанных с программами, имеющими доступ в интернет. Данная функции с одной стороны позволяет администраторам ограничивать использование таких приложений, как мессенджеры или торрент-клиенты, в личных целях, с другой - защитить локальную сеть от связанных с интернетом угроз. Другие функции Мониторинг и статистика в реальном времени UserGate UTM предоставляет статистику посещаемых сайтов, в которой отображаются не только адреса заблокированных ресурсов, но и категория, к которой он относится, словарь морфологии, в соответствии с которым ресурс был заблокирован, и прочие параметры. Также продукт предоставляет статистику осуществленных поисковых запросов. Встроенные функции журналирования и предупреждения позволяют контролировать использование интернета, не вводя запретов и явных ограничений. Публикация ресурсов Часто возникает необходимость предоставления доступа к внутренним ресурсам компании извне. Как правило, к таким ресурсам относятся Web-, FTP-, VPN- или почтовый сервер. Для того чтобы предоставить такой доступ с помощью UserGate UTM, необходимо создать правило перенаправления запросов на компьютер в локальной сети, на котором запущена соответствующая служба. Балансировка нагрузки UserGate UTM позволяет осуществлять балансировку нагрузки на различные сервисы, находящиеся внутри локальной сети. Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет (DNAT), так и для внутренних серверов без публикации. Балансировщик распределяет запросы, поступающие на IP-адрес виртуального сервера, на IP-адреса реальных серверов, используя при этом различные методы балансировки. DHCP-сервер и DHCP-релей Поддержка DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) позволяет администратору автоматизировать и управлять выдачей IP-адресов устройствам в локальной сети. Служба DHCP дает возможность администраторам контролировать и распределять Entensys | Administrator's Guide 9 IP-адреса, и автоматически выдавать IP-адрес при подключении нового устройства к локальной сети. UserGate UTM может выступать в качестве DHCP-релея, обеспечивая передачу DHCP-запросов от клиентов, находящихся в различных сетях, на центральный DHCP-сервер. Удаленное администрирование Управление UserGate UTM может осуществляться из любой точки через веб-интерфейс. Это позволяет эффективно контролировать работу филиалов организации с распределенными офисами и филиальными сетями. UserGate UTM поддерживает мониторинг с помощью протоколов SNMP v2 и SNMP v3. Entensys | Administrator's Guide 10 Первоначальная настройка UserGate UTM поставляется в виде программно-аппаратного комплекса (appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде. В обоих случаях UTM поставляется с четырьмя ethernet-интерфейсами. Интерфейс eth0 настроен на получение IP-адреса в автоматическом режиме (DHCP) и назначен в зону Management. Первоначальная настройка осуществляется через подключение администратора к веб-консоли через интерфейс eth0. Если нет возможности назначить адрес для Management интерфейса в автоматическом режиме с помощью DHCP, то его можно явно задать, используя CLI (Command Line Interface). Более подробно об использовании CLI смотрите в главе Интерфейс командной строки (CLI). Остальные интерфейсы отключены и требуют последующей настройки. Первоначальная настройка требует выполнения следующих шагов: Наименование Описание При наличии DHCP-сервера Подключите интерфейс eth0 в сеть предприятия с работающим DHCP-сервером. Включите UTM. После загрузки UTM укажет IP-адрес, на который необходимо подключиться для дальнейшей активации продукта. Шаг 1. Подключитесь к интерфейсу управления Статический IP-адрес Включите UTM. Используя CLI (Command Line Interface) назначьте необходимый IP-адрес на интерфейс eth0. Детали использования CLI смотрите в главе Интерфейс командной строки (CLI) Подключитесь к веб-консоли UserGate UTM по указанному адресу, он должен выглядеть примерно следующим образом: httpS://UTM_IP_address:8001 Шаг 2. Выберите язык Выберите язык, на котором будет продолжена первоначальная настройка Шаг 3. Задайте пароль Задайте логин и пароль для входа в веб-интерфейс управления Шаг 4. Зарегистрируйте систему Введите ПИН-код для активации продукта и заполните регистрационную форму. Для активации системы необходим доступ UserGate UTM в интернет. Если на данном этапе выполнить регистрацию не удается, то ее Entensys | Administrator's Guide 11 следует повторить после настройки сетевых интерфейсов на шаге 10 Шаг 5. Настройте зоны, IP-адреса интерфейсов, подключить UTM в сеть предприятия В разделе Интерфейсы включите необходимые интерфейсы, установите корректные IP-адреса, соответствующие вашим сетям и назначьте интерфейсы соответствующим зонам. Подробно об управлении интерфейсами читайте в главе Настройка интерфейсов. Система поставляется с 4 предопределенными зонами: § Зона Trusted (LAN); § Зона Untrusted (Internet); § Зона DMZ (DMZ); § Зона Management (сеть управления), интерфейс eth0 Шаг 6. Настройте шлюз в интернет В разделе Шлюзы укажите IP-адрес шлюза в интернет на интерфейсе, подключенном в интернет, зона Untrusted. Подробно об управлении интерфейсами читайте в главе Настройка шлюзов Шаг 7. Укажите системные DNS-серверы В разделе DNS укажите IP-адреса серверов DNS, вашего провайдера или серверов, используемых в вашей организации. Подробно об управлении интерфейсами читайте в главе Настройка DNS Шаг 8. Создайте правила NAT В разделе NAT и Маршрутизация создайте необходимые правила NAT. Для доступа в интернет пользователей сети Trusted правило NAT уже создано – «TrustedàUntrusted». Подробно о правилах NAT читайте в главе NAT и Маршрутизация Шаг 9. Создайте правила межсетевого экрана В разделе Межсетевой экран создайте необходимые правила межсетевого экрана. Для безграничного доступа в интернет пользователей сети Trusted правило межсетевого экрана уже создано – «Internet for Trusted», необходимо только включить его. Подробно о правилах межсетевого экрана читайте в главе Межсетевой экран Шаг 10. Зарегистрируйте продукт (если не был В разделе Настройки зарегистрируйте продукт с помощью ПИН-кода. Для успешной регистрации необходимо подключение к интернет и выполнение Entensys | Administrator's Guide 12 зарегистрирован на шаге 4) предыдущих шагов. Более подробно о лицензировании продукта читайте в главе Установка лицензии Шаг 11. Создайте дополнительных администраторов (опционально) В разделе Управление устройством создайте дополнительных администраторов системы, наделите их необходимыми полномочиями (ролями) Шаг 12. Настройте авторизацию пользователей (опционально) В разделе Пользователи и устройства создайте необходимые методы авторизации пользователей. Самый простой вариант - это создать локальных пользователей UTM с заданными IP-адресам или использовать систему без идентификации пользователей (использовать пользователя Any во всех правилах). Для других вариантов авторизации пользователей смотрите главу Идентификация пользователей Шаг 13. Создайте правила контентной фильтрации (опционально) В разделе Фильтрация контента создайте правила фильтрации HTTP(S). Более подробно о фильтрации контента читайте в соответствующей главе Шаг 14. Создайте правила веббезопасности (опционально) В разделе Веб-безопасность создайте дополнительные правила защиты веб. Более подробно о Веб-безопасности читайте в главе Веб-безопасность Шаг 15. Создайте правила дешифрации HTTPS (опционально) В разделе Дешифрация HTTPS создайте правила для перехвата и расшифровывания HTTPS-трафика. Более подробно о дешифрации HTTPS читайте в главе Настройка дешифрации HTTPS Шаг 16. Создайте правила Системы обнаружения вторжений (СОВ) (опционально) Включите модуль СОВ в разделе Настройки. В разделе СОВ создайте правила защиты сети от атак. Более подробно о правилах СОВ читайте в главе Система обнаружения и предотвращения вторжений После выполнения вышеперечисленных действий UserGate UTM готов к работе. Для более детальной настройки обратитесь к необходимым главам справочного руководства. Entensys | Administrator's Guide 13 Управление устройством Общие настройки Раздел Настройки определяет базовые установки UserGate UTM, такие как: Наименование Описание Часовой пояс Установите часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в статистических отчетах, журналах и т.п.. Язык интерфейса по умолчанию Язык, который будет использоваться по умолчанию в консоли Позволяет включить или отключить использование модулей UTM: Модуль § СОВ – модуль системы обнаружения и предотвращения вторжений § Контроль приложений – модуль сигнатурного определения трафика приложений § Внешний сервер ICAP – здесь осуществляется настройка работы сервера с внешним сервером ICAP, например, с системой DLP. Более подробно смотрите далее в этой главе § HTTP(S)-прокси порт – позволяет указать нестандартный номер порта, который будет использоваться для подключению к встроенному прокси-серверу. По умолчанию используется порт TCP 8090 Настройки модуля статистики: § Собирать статистику – включает или отключает сбор статистики § Состояние – показывает текущее состояние сервиса статистики § Адрес сервера – IP-адрес сервера статистики. В большинстве случаев это 127.0.0.1, то есть локальный сервер § Порт – порт TCP, на котором слушает сервис статистики Статистика Entensys | Administrator's Guide 14 § Отсутствие лицензии Пароль – строка авторизации для подключения к сервису статистики Настройка поведения модуля фильтрации при отсутствии лицензии на Entensys URL filtering, например, когда лицензия истекла. Возможны варианты Блокировать (Блокировать интернет) и Пропускать без фильтрации Настройка кэша прокси сервера: Настройка кэширования HTTP § Включен/Выключен – включение отключение кэширования § Исключения кэширования – список URL, которые не будут кэшироваться § Максимальный размер объекта, Мбайт – объекты с размером более, чем указано в данной настройке не будут кэшироваться. Рекомендуется оставить значение по умолчанию – 1 Мбайт § Размер RAM-кэша, Мбайт – размер оперативной памяти, отведенный под кэширование. Не рекомендуется ставить более 20% от объема оперативной памяти системы Для настройки передачи трафика на внешние ICAP-серверы, как правило, на DLP-систему, необходимо настроить параметры ICAP-клиента сервера UserGate UTM. Нажмите на кнопку Настройки и укажите необходимые параметры: Наименование Описание Вкл/Выкл Включает или отключает отсылку данных на ICAPсервер Адрес сервера IP-адрес сервера ICAP Порт Порт сервера ICAP, обычно 1344 Reqmod путь Путь на сервере ICAP для работы в режиме Reqmod. Вместе с адресом сервера и портом образуют URL режима Reqmod. Если в документации для сервера ICAP не требуется указывать путь, установите “/” в качестве пути Entensys | Administrator's Guide 15 Respmod путь Путь на сервере ICAP для работы в режиме Respmod. Вместе с адресом сервера и портом образуют URL режима Respmod. Если в документации для сервера ICAP не требуется указывать путь, установите “/” в качестве пути Максимальный размер запроса Размер максимального запроса, передаваемого на анализ на сервер ICAP в мегабайтах Пропускать при ошибках Если эта опция включена, то UserGate UTM не будет посылать данные на сервер ICAP, в случаях, когда ICAPсервер не доступен или работает с ошибками Важно! Передача трафика на ICAP-серверы выполняется до применения правил фильтрации контента. Важно! UserGate UTM передает имя пользователя на сервер ICAP в поле X-Authenticated-User и IPадрес пользователя в поле X-Client-Ip. На этой же странице настраивается детализация журналирования. С помощью этой настройки администратор может указать события от каких модулей необходимо посылать информацию в журнал событий. Помните, что избыточное журналирование может создавать дополнительную нагрузку на сервер. Параметры настройки журналирования: Наименование Описание Укажите важность событий, записываемых в журнал: Важность события § Ошибки § Предупреждения § Критичные события § Информационные Укажите компоненты, для которых необходимо записывать события: Компоненты Entensys | Administrator's Guide § Аккаунты и группы § Пропускная способность § Дешифрование HTTPS § Устройство § Межсетевой экран § Консольная авторизация § Captive-портал 16 § Отказоустойчивость § Экспорт журналов § Фильтрация контента § СОВ § Библиотеки § NAT и маршрутизация § Сеть § Веб-безопасность § Настройки § Обновления § Защита почтового трафика На этой же странице осуществляется настройка файлов журналов трафика, СОВ, веб-доступа. В эти журналы в текстовом виде записываются события от соответствующих служб UserGate UTM. С помощью этой настройки администратор может указать период ротации файлов. Параметры настройки файлов журналов: Наименование Описание Период ротации журналов, дней Срок в днях, после которого будет создаваться новый журнал для записи событий. Старый файл удаляется. Вы можете настроить расписание и экспортировать журналы для длительного хранения, смотрите раздел Экспорт журналов Текущий размер Показывает текущий размер журнала Действие очистить журнал Позволяет очистить содержимое журнала. Данный функционал может быть полезен в случаях, когда благодаря высокой активности пользователей файлы журналов использовали все свободное место на разделе, предназначенном для журналирования. Рекомендуется пересмотреть параметр Период ротации для предотвращения таких случаев Дашборд Панель дашборд отображает текущую информацию о работе продукта, такую как активные порты Ethernet, информацию о лицензии, графики объема трафика, графики количества DNS и HTTPзапросов в единицу времени, загрузку процессора, памяти и другую. Информация в дашборд Entensys | Administrator's Guide 17 представлена в виде виджетов, которые могут быть настроены администратором так, как ему удобно. Виджеты можно менять местами, удалять, сворачивать, изменять их размер. Установка лицензии UserGate UTM лицензируются по количеству одновременно подключенных устройств. Например, 100-пользовательская лицензия разрешает подключение к сети одновременно 100 устройствам с уникальными IP-адресами. 101-й и следующие устройства не смогут получить доступ к сети. Количество учетных записей пользователей в системе не ограничивается. Лицензия на UserGate UTM дает право бессрочного пользования продуктом. Дополнительно лицензируются следующие модули: Наименование Описание Модуль SU дает право на получение: Модуль Security Update (SU) § обновлений ПО UTM § обновлений сигнатур системы обнаружения вторжений § обновлений сигнатур приложений L7 § технической поддержки Модуль выписывается на 1 год, после истечении данного срока для получения обновлений ПО и технической поддержки необходимо приобрести продление лицензии. Модуль ATP включает в себя: Модуль Advanced Threat Protection (ATP) § Годовая подписка на базу категорий сайтов Entensys URL filtering § Годовая подписка на обновляемые списки запрещенных сайтов Роскомнадзора, список Phishing-сайтов, Белый список Entensys, Черный список Entensys § Годовая подписка на морфологические базы, предоставляемые компанией Entensys § Годовая подписка на Облачный антивирус Entensys § Годовая подписка на модуль блокировки рекламы Модуль выписывается на 1 год, после истечении данного срока: § Entensys | Administrator's Guide Entensys URL filtering перестает работать 18 § Фильтрация с помощью морфологии перестает работать § Списки запрещенных сайтов Роскомнадзора, список Phishing-сайтов, Белый список Entensys, Черный список Entensys продолжают работать, но обновления не доступны § Облачный антивирус Entensys перестает работать § Модуль блокировки рекламы перестает работать Модуль Антивирус Касперского (KAV) Модуль Антивирус Касперского включает в себя годовую подписку на антивирус Касперского. Модуль Mailsecurity Mailsecurity включает в себя годовую подписку на проверку почтового трафика с помощью модуля антиспама и антивируса Entensys. Для регистрации продукта необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Перейти в дашборд Нажать на пиктограмму Дашборд в правом верхнем углу Шаг 2. В разделе Информация о лицензии зарегистрировать продукт В разделе Информация о лицензии нажать на ссылку Зарегистрировать продукт, ввести ПИН-код и заполнить регистрационную форму Кластеризация и отказоустойчивость UserGate UTM поддерживает кластеризацию. Кластеризация позволяет объединить несколько устройств UserGate UTM в единый кластер, в котором будут единые настройки. Наименование Описание Настройки, единые для всех узлов кластера Зоны Сертификаты DNS Серверы авторизации Терминальные серверы Группы Entensys | Administrator's Guide 19 Пользователи Captive-портал Captive-профили Политики межсетевого экрана Политики NAT и маршрутизации Политики пропускной способности Политики фильтрации контента Веб-безопасность Дешифрация HTTPS СОВ Библиотеки Профили оповещений Оповещения SNMP Настройки, индивидуальные для каждого узла кластера Интерфейсы Шлюзы DHCP Маршруты Экспорт журналов Для создания кластера необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Выполнить первоначальную настройку на первом узле кластера Смотрите главу Первоначальная настройка Шаг 2. Настроить зону на первом узле кластера, через интерфейсы которой будет выполняться репликация кластера Шаг 3. Указать IP-адрес, который будет использоваться для Entensys | Administrator's Guide В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую. В настройках зоны разрешить следующие сервисы: § Консоль администрирования § Кластер Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету В разделе Управление устройством выберите текущий узел кластера и нажмите на кнопку 20 связи с другими узлами кластера Редактировать. Укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2 Шаг 4. Сгенерировать Секретный код на первом узле кластера В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер Подключиться к веб-консоли второго узла кластера, выбрать язык установки. Шаг 5. Подключить второй узел в кластер Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все настройки первого кластера реплицируются на второй Шаг 6. Назначить зоны интерфейсам второго узла В веб-консоли второго узла кластера в разделе СетьИнтерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера Кроме этого два сервера кластера можно объединить в отказоустойчивый VRRP-кластер, в котором один из серверов выступает в роли главного узла, обрабатывающего трафик, а второй – в качестве резервного. Для отказоустойчивого кластера указывается общий виртуальный IP-адрес кластера. Entensys | Administrator's Guide 21 Для создания отказоустойчивого кластера необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать кластер Создать кластер, как это описано в предыдущем шаге Шаг 2. Настроить зону, на обоих узлах кластера, интерфейсы которой будут участвовать в В разделе Зоны следует создать выделенную или использовать существующую зону. В настройках зоны разрешить сервис VRRP Entensys | Administrator's Guide 22 отказоустойчивом кластере Шаг 3. Добавить узлы кластера в отказоустойчивый VRRPкластер В разделе Управление устройством – Кластер отказоустойчивости нажмите на кнопку Добавить и укажите виртуальный IP адрес кластера. Укажите узлы кластера – Главный узел и Запасной узел и интерфейсы, которые будут связаны с виртуальным IP-адресом. Шаг 4. Укажите виртуальный IP-адрес для хостов auth.captive и logout.captive Если предполагается использовать авторизацию с помощью Captive-портала, то необходимо, что бы системные имена хостов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, резолвились в IP-адрес, назначенный в качестве кластерного виртуального адреса. Это можно сделать, создав в разделе DNS статические записи: auth.captive виртуальный_IP-адрес logout.captive виртуальный_IP-адрес UserGate UTM позволяет поддерживать синхронизацию пользовательских сессий между узлами отказоустойчивого кластера. В этом случае при выходе из строя одного из узлов кластера пользователи будут переключены на запасной и все их сессии будут активны. Для настройки синхронизации сессий необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать отказоустойчивый кластер для интерфейсов зоны, подключенной в сторону клиентов Создать отказоустойчивый кластер, как это описано в предыдущем шаге Шаг 2. Создать отказоустойчивый кластер для интерфейсов зоны, подключенной в сторону интернет Создать отказоустойчивый кластер, как это описано в предыдущем шаге Шаг 3. Включить режим синхронизации сессий На каждом из узлов отказоустойчивого кластера в разделе Управление устройством – Кластер отказоустойчивости нажмите на кнопку Синхронизация сессий, выберите интерфейс, через который будет происходить синхронизация и включите Entensys | Administrator's Guide 23 синхронизацию. Как правило указываются тот же интерфейс, что использовался для создания кластера Резервное копирование и восстановление первоначальных настроек UserGate UTM позволяет создать резервную копию текущего состояния системы и в дальнейшем восстановить данное состояние. Данная опция весьма полезна при применении критических изменений системы, например, при обновлении ПО UserGate UTM. Рекомендуется периодически создавать резервные копии. Для создания резервной копии необходимо выполнить следующие действия: Наименование Описание Шаг 1. Подключиться к консоли сервера Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB (при наличии соответствующих разъемов на устройстве) или используя специальный кабель для последовательного порта, или переходник USB-Serial, подключить свой компьютер к UserGate UTM. Запустить терминал, позволяющий подключение через последовательный порт, например Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1 Шаг 2. Перезагрузить устройство В веб-консоли в разделе Управление устройством – Операция с сервером нажмите на Перезагрузить. При загрузке продукта в консоли выбрать раздел меню Support menu и затем Create backup. Шаг 3. Во время загрузки продукта выбрать меню управления резервными копиями Шаг 4. Создать резервную копию Entensys | Administrator's Guide При подключении через последовательный порт загрузочное меню не отображается. Для выбора раздела Support menu необходимо во время загрузки нажимать клавишу 4. Для выбора элемента Create backup необходимо нажать клавишу C, затем клавишу Ввод Вставить флэш-накопитель в USB порт UserGate UTM. Сервер отформатирует накопитель и сохранит на него текущее состояние системы. По окончании процедуры сервер будет перезагружен 24 Для восстановления предыдущего состояния системы из резервной копии необходимо выполнить следующие действия: Наименование Описание Шаг 1. Подключиться к консоли сервера Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB (при наличии соответствующих разъемов на устройстве) или используя специальный кабель для последовательного порта, или переходник USB-Serial, подключить свой компьютер к UserGate UTM. Запустить терминал, позволяющий подключение через последовательный порт, например Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1 Шаг 2. Перезагрузить устройство В веб-консоли в разделе Управление устройством – Операция с сервером нажмите на Перезагрузить. При загрузке продукта в консоли выбрать раздел меню Support menu и затем Restore backup. Шаг 3. Во время загрузки продукта выбрать меню управления резервными копиями Шаг 4. Восстановить резервную копию При подключении через последовательный порт загрузочное меню не отображается. Для выбора раздела Support menu необходимо во время загрузки нажимать клавишу 4. Для выбора элемента Restore backup необходимо нажать клавишу R, затем клавишу Ввод Вставить флэш-накопитель с сохраненной на нем резервной копией в USB порт UserGate UTM. По окончании процедуры сервер будет перезагружен Для сброса настроек UserGate UTM в первоначальное состояние необходимо выполнить следующие действия: Наименование Описание Шаг 1. Подключиться к консоли сервера Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB (при наличии соответствующих разъемов на устройстве) или используя специальный кабель для последовательного порта, или переходник USB-Serial, подключить свой компьютер к UserGate UTM. Запустить терминал, Entensys | Administrator's Guide 25 позволяющий подключение через последовательный порт, например Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1 Шаг 2. Перезагрузить устройство Шаг 3. Во время загрузки продукта выбрать меню управления резервными копиями В веб-консоли в разделе Управление устройством – Операция с сервером нажмите на Перезагрузить. При загрузке продукта в консоли выбрать раздел меню Support menu и затем Factory reset. По окончании процедуры сервер будет перезагружен. При подключении через последовательный порт загрузочное меню не отображается. Для выбора раздела Support menu необходимо во время загрузки нажимать клавишу 4. Для выбора элемента Factory reset необходимо нажать клавишу F, затем клавишу Ввод Экспорт и импорт настроек Администратор имеет возможность сохранить текущие настройки UserGate UTM в файл и впоследствии восстановить эти настройки на этом же или другом сервере UserGate UTM. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки. Важно! Экспорт/импорт настроек не восстанавливает состояние кластера и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать UserGate UTM с помощью имеющегося ПИН-кода и заново создать кластер, если это необходимо. Для экспорта настроек необходимо выполнить следующие действия: Наименование Описание Шаг 1. Экспорт настроек В разделе Управление устройством нажать на ссылку Настройки сервера-Экспорт. Система сохранит текущие настройки сервера под именем database.bin Для применения созданных ранее настроек необходимо выполнить следующие действия: Наименование Описание Шаг 1. Импорт настроек В разделе Управление устройством нажать на ссылку Настройки сервера-Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки Entensys | Administrator's Guide 26 применятся к серверу, после чего сервер будет перезагружен Важно! Импорт настроек возможен только на ту же самую версию UserGate UTM, на которой эти настройки были созданы. Не пытайтесь восстановить настройки на более новую версию или на более старую. Это может привести к полной неработоспособности комплекса UserGate UTM. Обновление ПО Компания Entensys постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта UserGate UTM в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Управление продуктом-Установка лицензии). При наличии обновлений в разделе Управление продуктом отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя UserGate UTM. Для установки обновлений необходимо выполнить следующие действия: Наименование Описание Шаг 1. Создать файл резервного копирования Создать резервную копию состояния UserGate UTM, как это описано в разделе Управление устройством – Резервное копирование и восстановление первоначальных настроек. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений Шаг 2. Установить обновления В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки UserGate UTM будет перезагружен Интерфейс командной строки (CLI) UserGate UTM позволяет создавать базовые настройки устройства с помощью интерфейса командной строки или CLI (command line interface). С помощью CLI администратор может Entensys | Administrator's Guide 27 выполнить ряд диагностирующих команд, таких как ping, nslookup, traceroute, осуществить настройку сетевых интерфейсов и зон, а так же перезагрузить или выключить устройство. CLI полезно использовать для диагностики сетевых проблем, или в случае, когда доступ к вебконсоли утерян, например, некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу. Подключение к CLI можно выполнить через стандартные порты VGA/клавиатуры (при наличии таких портов на оборудовании UserGate UTM), через последовательный порт или с помощью SSH по сети. Для подключения к CLI с использованием монитора и клавиатуры необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Подключить монитор и клавиатуру к UserGate UTM Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB Шаг 2. Войти в CLI Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate UTM не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm Для подключения к CLI с использованием последовательного порта необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Подключиться к UserGate UTM Используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate UTM Шаг 2. Запустить терминал Запустить терминал, позволяющий подключение через последовательный порт, например Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1 Шаг 3. Войти в CLI Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate UTM не прошло первоначальную инициализацию, то для доступа к CLI необходимо Entensys | Administrator's Guide 28 использовать в качестве имени пользователя Admin, в качестве пароля - utm Для подключения к CLI по сети с использованием протокола SSH необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Разрешить доступ к CLI (SSH) для выбранной зоны Разрешите доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI. Будет открыт порт TCP 2200 Шаг 2. Запустить SSHтерминал Запустите у себя на компьютере SSH-терминал, например, SSH для Linux или Putty для Windows. Укажите в качестве адреса - адрес UserGate UTM, в качестве порта подключения 2200, в качестве имени пользователя - имя пользователя с правами Full administrator (по умолчанию Admin). Для Linux команда на подключение должна выглядеть вот так: ssh Admin@IP-UTM -p 2200 Шаг 3. Войти в CLI Войдите в CLI, используя пароль пользователя, указанного на предыдущем шаге. Если устройство UserGate UTM не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm После успешного входа в CLI можно посмотреть список возможных команд с помощью команды help. Для подробного описания любой команды необходимо использовать синтаксис help command Например, для получения подробной справки по использованию команды настройки сетевого интерфейса iface необходимо выполнить help Iface Полный список команд: Наименование Описание help Показывает список доступных команд Entensys | Administrator's Guide 29 exit quit Ctrl+D Выйти из CLI reboot Перезагрузить сервер UserGate UTM traceroute Выполнить трассировку соединения до определенного хоста nslookup Выполнить определение IP-адреса по имени хоста ping Выполнить ping определенного хоста route Создание, изменение, удаление маршрутов zone Набор команд для просмотра и настройки параметров зоны. Смотрите zone help для детальной информации iface Набор команд для просмотра и настройки параметров сетевого интерфейса. Смотрите iface help для детальной информации shutdown Выключить сервер UserGate UTM node Набор команд для просмотра и настройки узлов кластера. Смотрите node help для детальной информации webaccess Набор команд для просмотра режима авторизации веб-консоли. Позволяет вернуть режим По имени паролю, при невозможности авторизоваться с помощью сертификатов date Посмотреть текущее время на сервере Управление сертификатами UserGate UTM использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а так же может производить авторизацию администраторов в веб-консоль на основе их сертификатов. Entensys | Administrator's Guide 30 Для выполнения данных функций UserGate UTM использует различные типы сертификатов: Наименование Описание SSL веб-консоли Используется для создания безопасного HTTPSподключения администратора к веб-консоли UserGate UTM SSL дешифрование Используется для генерации SSL-сертификатов для хостов интернет, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный Subject name = yahoo.com Issuer name = VeriSign Class 3 Secure Server CA - G3 подменяется на Subject name = yahoo.com Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в UserGate UTM SSL дешифрование (промежуточный) Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для SSL дешифрования. Для корректной работы необходим только публичный ключ сертификата УЦ авторизации вебконсоли Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа Сертификатов для SSL веб-консоли и сертификатов SSL дешифрования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов. Для того чтобы создать новый сертификат, необходимо выполнить следующие действия: Наименование Описание Шаг 1. Создать сертификат Нажать на кнопку Создать в разделе Сертификаты Шаг 2. Заполнить необходимые поля Entensys | Administrator's Guide Указать значения следующих полей: § Название – название сертификата, под которым он будет отображён в списке сертификатов 31 Шаг 3. Указать, для чего будет использован данный сертификат § Описание – описание сертификата § Страна – укажите страну, в которой выписывается сертификат § Область или штат – укажите область или штат, в котором выписывается сертификат § Город - укажите город, в котором выписывается сертификат § Название организации – укажите название организации, для которой выписывается сертификат § Common name – укажите имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров § E-mail – укажите e-mail вашей компании После создания сертификата необходимо указать его роль в UserGate UTM. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, SSL дешифрование, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate UTM перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат SSL дешифрования начинает работать немедленно после того, как его выбрали. Более детально о дешифровании HTTPS смотрите в главе Настройка дешифрования HTTPS UserGate UTM позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации. Для экспорта сертификата необходимо: Наименование Описание Шаг 1. Выбрать сертификат для экспорта Выделите необходимый сертификат в списке сертификатов Выберите тип экспорта: Шаг 2. Экспортируйте сертификат Entensys | Administrator's Guide § Экспорт сертификата – экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта 32 сертификата SSL дешифрования, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении №1 § Экспорт ключа – экспортирует приватный ключ сертификата Важно! Рекомендуется сохранять сертификат и ключ сертификата для возможности его последующего восстановления. Важно! Пользователи могут скачать себе для установки сертификат SSL дешифрования с UserGate UTM по прямой ссылке: https://UserGateUTM_IP:8001/storage/DownloadCACert Необходимо разрешить доступ к сервису Консоль администрирования для зоны, в которой пользователи будут скачивать сертификат. Для импорта сертификата необходимо иметь файлы сертификата и опционально приватного ключа сертификата и выполнить следующие действия: Наименование Описание Шаг 1. Начать импорт Нажмите на кнопку Импорт Указать значения следующих полей: Шаг 2. Заполните необходимые поля § Название – название сертификата, под которым он будет отображён в списке сертификатов § Описание – описание сертификата § Загрузите файл, содержащий данные сертификата § Загрузите файл, содержащий приватный ключ сертификата Использование корпоративного УЦ для создания сертификата SSL дешифрования Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата SSL дешифрования сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата. Рассмотрим более подробно процедуру настройки UTM. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая: Entensys | Administrator's Guide 33 Корневой УЦ Root CA Выписанный корневым УЦ промежуточный УЦ Sub CA1 Выписанный Sub CA1 промежуточный УЦ Sub CA2 Необходимо выписать с помощью Sub CA2 сертификат для UserGate UTM и настроить его в качестве сертификата SSL дешифрования. Для выполнения этой задачи следует выполнить следующие шаги: Наименование Описание Шаг 1. Создать CSRзапрос на создание сертификата в UTM Нажмите на кнопку СоздатьàНовый CSR. Заполните необходимые поля и создайте CSR. Будет создан приватный ключ и файл запроса. С помощью кнопки Экспорт скачайте файл запроса В Microsoft CA создайте сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq: Шаг 2. Создать сертификат на основе подготовленного CSR certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem или с помощью веб-консоли Microsoft CA. Обратитесь к документации Microsoft за более подробной информацией. По окончании процедуры вы получите сертификат (публичный ключ), подписанный УЦ Sub CA2 Шаг 3. Скачать полученный сертификат Из веб-консоли Microsoft CA скачайте созданный сертификат (публичный ключ) Шаг 4. Загрузить сертификат в созданный ранее CSR В UserGate UTM выберите созданный ранее CSR и нажмите кнопку Редактировать. Загрузите файл сертификата и нажмите Сохранить Шаг 5. Указать тип сертификата – SSL дешифрование В UserGate UTM выберите созданный ранее CSR и нажмите кнопку Редактировать. Укажите в поле Используется – SSL дешифрование Entensys | Administrator's Guide 34 Шаг 6. Скачать сертификаты для промежуточных УЦ (Sub CA1 и Sub CA2) В веб-консоли Microsoft CA выберите и скачайте сертификаты (публичные ключи) для УЦ Sub CA1 и Sub CA2 Шаг 7. Загрузить сертификаты Sub CA1 и Sub CA2 в UTM С помощью кнопки Импорт загрузите скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2 Шаг 8. Установить тип SSL дешифрование (промежуточный) для сертификатов Sub CA1 и Sub CA2 В UserGate UTM выберите загруженные сертификаты и нажмите кнопку Редактировать. Укажите в поле Используется – SSL дешифрование (промежуточный) для обоих сертификатов Экспорт журналов UserGate UTM поддерживает ведение следующих журналов: § Веб-доступа § СОВ § Трафика Журналы представляют собой текстовые файлы с детальной информацией о событиях. Файлы журналов ротируются в соответствии с настройками ротации, более подробно об этом смотрите в главе Общие настройки. Каждый из журналов может быть отправлен на внешний сервер для хранения. Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на сервера SSH и FTP проводится по указанному в конфигурации расписанию. Отправка на сервера Syslog происходит сразу же при добавлении записи в журнал. Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов. При создании конфигурации требуется указать следующие параметры: Наименование Описание Название правила Название правила экспорта журналов Описание Опциональное поле для описания правила Entensys | Administrator's Guide 35 Выбор файлов журналов, которые необходимо экспортировать: Журналы для экспорта § Журнал веб-доступа § Журнал СОВ § Журнал трафика Тип сервера SSH (SFTP), FTP, Syslog Адрес сервера IP-адрес или доменное имя сервера Протокол Только для типа серверов Syslog – TCP или UDP Порт Порт сервера, на который следует отправлять данные Логин Имя учетной записи для подключения к удаленному серверу. Не применительно к методу отправки Syslog Пароль Пароль учетной записи для подключения к удаленному серверу. Не применительно к методу отправки Syslog Повторите пароль Подтверждение пароля учетной записи для подключения к удаленному серверу. Не применительно к методу отправки Syslog Путь на сервере Каталог на сервере для копирования файлов журналов. Не применительно к методу отправки Syslog Выбор расписания для отправки логов. Не применительно к методу отправки Syslog. Возможны варианты: Расписание § Ежедневно § Еженедельно § Ежемесячно § Каждые … часов § Каждые … минут § Задать вручную При задании вручную необходимо использовать crontabподобный формат, при котором строка выглядит как шесть полей разделённых пробелами. Поля задают время в Entensys | Administrator's Guide 36 следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом: § Звёздочка (*) - обозначает весь диапазон (от первого до последнего) § Дефис (-) - обозначает диапазон чисел. Например "5-7" будет означать 5,6 и 7 § Списки. Это числа (или диапазоны), разделенные запятыми. Например: "1,5,10,11" или "1-11,19-23" § Звёздочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа Мониторинг с помощью SNMP UserGate UTM поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается как управление с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps). Это позволяет наблюдать за критическими параметрами UserGate UTM с помощью программного обеспечения SMNP управления, используемого в компании. Для настройки мониторинга с помощью SNMP необходимо создать правила SNMP. Для создания правила SNMP необходимо в разделе SNMP нажать на кнопку Добавить и указать следующие параметры: Наименование Описание Название правила Название правила IP-адрес сервера для трапов IP-адрес сервера для трапов и порт, на котором сервер слушает оповещения. Обычно это порт UDP 162. Данная настройка необходимо только в случае, если необходимо отправлять трапы на сервер оповещений Комьюнити SNMP community – строка для идентификации сервера UTM и сервера управления SNMP для версии SNMP v2c. Используйте только латинские буквы и цифры Entensys | Administrator's Guide 37 Контекст Необязательный параметр определяющий SNMP context. Используйте только латинские буквы и цифры Версия Указывает версию протокола SNMP, которая будет использоваться в данном правиле. Возможны варианты SNMP v2c и SNMP v3 Разрешить SNMPзапросы При включении разрешает получение и обработку SNMP-запросов от SNMP-менеджера Разрешить SNMP-трапы При включении разрешает отправку SNMP-трапов на сервер, настроенный для приема оповещений Пользователь Только для SNMP v3. Имя пользователя для авторизации SNMP-менеджера Выбор режима аутентификации SNMP-менеджера. Возможны варианты: Тип аутентификации § Без аутентификации, без шифрования (noAuthNoPriv) § С аутентификацией, без шифрования (authNoPriv) § С аутентификацией, с шифрованием (authPriv) Наиболее безопасной считается режим работы authPriv Алгоритм аутентификации Алгоритм, используемый для аутентификации Пароль аутентификации Пароль, используемый для аутентификации Алгоритм шифрования Алгоритм, используемый для шифрования. Возможно использовать DES и AES Пароль шифрования Пароль, используемый для шифрования События Укажите параметры, значения которых будут доступны для считывания SNMP-менеджером. Если отсылка трапов была разрешена, то при достижении Entensys | Administrator's Guide 38 критичного значения параметра будет отправлен трап на сервер Важно! Настройки аутентификации для SNMP v2c (community) и для SNMP v3 (пользователь, тип аутентификации, алгоритм аутентификации, пароль аутентификации, алгоритм шифрования, пароль шифрования) на SNMP-менеджере должны совпадать с настройками SNMP в UserGate UTM. Информацию по настройке параметров аутентификации для вашего SNMP-менеджера смотрите в руководстве по настройке выбранного вами программного обеспечения для управления SNMP. Кнопка Скачать MIB позволяет скачать файлы с mib-файлы с параметрами мониторинга UTM для последующего использования их в SNMP-менеджере. Компании Entensys выделен уникальный идентификатор SNMP (Private Enterprise Number) 45741. Управление доступом к консоли UserGate UTM Доступ к веб-консоли UserGate UTM регулируется с помощью создания дополнительных учетных записей администраторов, назначением им ролей, создания политики управления паролями администраторов и настройкой доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов. Для создания дополнительных учетных записей администраторов устройства необходимо: Наименование Описание Шаг 1. Создать пользователя В разделе Управление устройством в блоке Администраторы UTM нажмите кнопку Добавить Указать значения следующих полей: Шаг 2. Заполните необходимые поля Entensys | Administrator's Guide § Вкл – включает пользователя § Логин – имя учетной записи пользователя § Пароль и подтверждение пароля – пароль учетной записи § E-mail – адрес электронной почты администратора § Роль – уровень доступа администратора к системе. Роли могут быть: Все права – дает все полномочия для управления устройством Только для чтения – дает права просмотра настроек устройства, без возможности их изменять Администратор временных пользователей – дает права на управление временными пользователями. Подробно о временных 39 пользователях смотрите в главе Временные пользователи Важно! При первоначальной настройке UserGate UTM создается суперпользователь Admin. Только пользователь Admin может создавать учетные записи других администраторов. Администратор UTM может настроить дополнительные параметры защиты учетных записей администраторов, такие как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации. Для настройки этих параметров необходимо: Наименование Описание Шаг 1. Настроить политику паролей В разделе Управление устройством в блоке Администраторы UTM нажмите кнопку Настроить Указать значения следующих полей: § Сложный пароль – должен содержать как минимум один символ в верхнем регистре, как минимум один символ в нижнем регистре, как минимум одну цифру, как минимум один специальный символ и его длина должна быть больше или равна восьми символам § Число неверных попыток аутентификации – количество неудачных попыток аутентификации администратора после которых учетная запись заблокируется на Время блокировки § Время блокировки - время, на которое блокируется учетная запись Шаг 2. Заполните необходимые поля Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001). Важно! Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет. Для разрешения сервиса веб-консоли для определенной зоны, необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов. Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl): Entensys | Administrator's Guide 40 Наименование Описание Шаг 1. Создать учетные записи дополнительных администраторов Произведите настройку, как это описано ранее в этой главе, например, создайте учетную запись администратора с именем Administrator54 Создайте, или импортируйте существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами. Шаг 2. Создайте или импортируйте существующий сертификат типа УЦ авторизации вебконсоли Например, для создания УЦ с помощью утилиты openssl выполните команды: openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem –nodes openssl rsa -in ca-key.pem -out ca-key.pem В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem – публичный ключ. Импортируйте публичный ключ в UserGate UTM. Шаг 3. Создайте сертификаты для учетных записей администраторов С помощью средств сторонних утилит (например openssl) создайте сертификаты для каждого из администраторов. Необходимо, что бы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UTM. Для openssl и пользователя Administrator54 команды будут следующими: openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem –nodes С помощью средств сторонних утилит (например openssl) подпишите сертификаты администраторов сертификатом удостоверяющего центра веб-консоли Шаг 4. Подпишите сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра Для openssl команды будут следующими: openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name 'Administrator54 client certificate' Файл admin.p12 содержит подписанный сертификат администратора Entensys | Administrator's Guide 41 Шаг 5. Добавьте подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в вебконсоль Добавьте подписанные сертификаты в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС Шаг 6. Переключите режим авторизации вебконсоли в авторизацию по сертификатам x.509 В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату. Entensys | Administrator's Guide 42 Настройка сети В данном разделе описаны основные сетевые настройки UserGate UTM. Настройка зон Зона в UserGate UTM – это логическое объединение сетевых интерфейсов. Политики безопасности UserGate UTM используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности, а также существенно упрощает управление отказоустойчивым кластером. Зоны одинаковы на всех узлах кластера, то есть данная настройка является глобальной для кластера. Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN интерфейсов, зона Internet интерфейсов, зона интерфейсов, подключенных к сети партнера и т.п. По умолчанию UserGate UTM поставляется со следующими зонами: Наименование Описание Management Зона для подключения доверенных сетей, из которых разрешено управление UTM Trusted Зона для подключения доверенных сетей, например, LAN-сетей Untrusted Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету DMZ Зона для интерфейсов, подключенных к сети DMZ Cluster Зона для интерфейсов, используемых для работы кластера Администраторы UserGate UTM могут создать дополнительные зоны. Для создания зоны необходимо выполнить следующие шаги: Наименование Entensys | Administrator's Guide Описание 43 Шаг 1. Создать зону Нажать на кнопку Добавить и дать название зоне Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP: § Порог уведомления – при превышении количества запросов с одного IP-адреса над указанным значением происходит запись события в системный журнал § Порог отбрасывания пакетов – при превышении количества запросов с одного IP-адреса над указанным значением UserGate UTM начинает отбрасывать пакеты, поступившие с этого IP адреса, и записывает данное события в системный журнал Шаг 2. Настроить параметры защиты зоны от флуда (опционально) Рекомендованные значения для порога уведомления – 300 запросов в секунду, для порога отбрасывания пакетов – 600 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster Исключения защиты от флуда позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов Указать сервисы, предоставляемые UserGate UTM, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким как интернет, рекомендуется отключить все сервисы. Шаг 3. Настроить параметры контроля доступа зоны (опционально) Entensys | Administrator's Guide Сервисы: § Ping – позволяет пинговать UTM § SNMP – доступ к UTM по протоколу SNMP § Captive-портал и страница блокировки – необходим для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002) § XML-RPC для управления – позволяет управлять продуктом по API (TCP 4040) 44 Шаг 4. Настроить параметры защиты от IPспуфинг атак (опционально) § Кластер – сервис, необходимый для объединения нескольких узлов UserGate UTM в кластер (TCP 4369, TCP 9000-9100) § VRRP - сервис, необходимый для объединения нескольких узлов UserGate UTM в отказоустойчивый кластер § Консоль администрирования – доступ к вебконсоли управления (TCP 8001) § DNS – доступ к сервису DNS-прокси (TCP 53, UDP 53) § HTTP(S)-прокси – доступ к сервису HTTP(S)-прокси (TCP 8090, 8091) § Агент авторизации – доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов § SMTP(S)-прокси – сервис фильтрации SMTPтрафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика § POP3(S)-прокси - сервис фильтрации POP3трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика § CLI по SSH – доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200 Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например из Untrusted, во внутреннюю, например в Trusted. Для этого атакующий подменяет IP адрес источника на предполагаемый адрес адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес. Для блокировки атак такого типа необходимо указать диапазоны IP-адресов, которые могут подключаться к интерфейсам внутренней зоны. Например, если внутренняя сеть компании построена на диапазоне адресов 10.0.0.0/8, то именно этот диапазон необходимо указать для защиты от IP-спуфинг атак для зоны Trusted Настройка интерфейсов Раздел интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN-интерфейсы. Раздел отображает все интерфейсы Entensys | Administrator's Guide 45 каждого узла кластера. Настройки интерфейсов специфичны для каждого из узлов, то есть не глобальны. Кнопка Редактировать позволяет изменять параметры сетевого интерфейса: § Включить или отключить интерфейс § Назначить интерфейс в другую зону § Изменить физические параметры интерфейса - MAC-адрес и размер MTU § Выбрать тип присвоения IP-адреса - статический IP-адрес или динамический IP-адрес, полученный по DHCP § Настроить работу DHCP-релея на выбранном интерфейсе. Для этого необходимо включить DHCP-релей, указать в поле Адрес UTM - IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов Кнопка Добавить VLAN позволяет добавить виртуальный адаптер и осуществить его настройки. Настройка шлюзов Для подключения UserGate UTM к интернету необходимо указать IP-адрес одного или нескольких шлюзов. Если для подключения к интернет используется несколько провайдеров, то необходимо указать несколько шлюзов. Настройка шлюза уникальна для каждого из узлов кластера. Пример настройки сети с двумя провайдерами: § Интерфейс eth1 с IP-адресом 192.168.11.2 подключен к интернет-провайдеру 1. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.11.1 § Интерфейс eth2 с IP-адресом 192.168.12.2 подключен к интернет-провайдеру 2. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.12.1 При наличии двух или более шлюзов возможны 2 варианта работы: Наименование Описание Балансировка трафика между шлюзами Установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем меньшая доля трафика идет через шлюз) Основной шлюз с переключением на запасной Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети проверяет доступность хоста в интернет с указанной в настройках периодичностью, и в случае, если хост перестает быть доступен, переводит весь трафик на запасные шлюзы в порядке их расположения в консоли Entensys | Administrator's Guide 46 По умолчанию проверка доступности сети настроена на работу с публичным DNS-сервером Google (8.8.8.8), но может быть изменена на любой другой хост по желанию администратора. Настройка DHCP Служба DHCP (Dynamic Host Configuration Protocol) позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. В сети с DHCP-сервером каждому сетевому устройству можно динамически назначать IP-адрес, адрес шлюза, DNS. UserGate UTM может также выступать в качестве DHCP-релея, обеспечивая передачу DHCPзапросов от клиентов, находящихся в различных сетях, на центральный DHCP-сервер. Более подробно о настройке DHC-релея можно посмотреть в разделе Настройка интерфейсов. В UserGate UTM можно создать несколько диапазонов адресов для выдачи по DHCP. DHCP работает на каждом узле отказоустойчивого кластера независимо. Для обеспечения отказоустойчивости сервиса DHCP в кластере необходимо настроить DHCP на обоих узлах, указав непересекающиеся диапазоны IP-адресов. Для создания диапазона DHCP необходимо нажать на кнопку Добавить, и указать следующие параметры: Наименование Описание Включен Включает или выключает использование данного диапазона DHCP Узел Узел кластера, на котором создается данный диапазон Интерфейс Интерфейс сервера, на котором будет раздаваться IPадреса из создаваемого диапазона Диапазон IP Диапазон IP-адресов, выдаваемый клиентам DHCP Маска Маска подсети, выдаваемая клиентам DHCP Время аренды Время в секундах, на которое выдаются IP-адреса Домен Название домена, выдаваемое клиентам DHCP Шлюз IP-адрес шлюза, выдаваемый клиентам DHCP Entensys | Administrator's Guide 47 Серверы имен IP-адрес DNS-серверов, выдаваемые клиентам DHCP. Зарезервированные адреса MAC-адреса и сопоставленные им IP-адреса Игнорируемые MAC Список MAC-адресов, игнорируемых DHCP сервером Выданные IP-адреса отображаются в панели Арендованные адреса. Администратор может освободить любой выданный адрес, выделив адрес и нажав на кнопку Освободить. Настройка DNS Данный раздел содержит настройки сервисов DNS и DNS-прокси. Для корректной работы продукта необходимо, чтобы UserGate UTM мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы. Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. Настройки DNS-прокси: Наименование Описание Кэширование DNS Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов DNS-фильтрация Включает или отключает фильтрацию DNS-запросов. Для работы фильтрации необходимо приобрести лицензию на соответствующий модуль Рекурсивные DNSзапросы Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной Максимальный TTL для DNS-записей Устанавливает максимально возможное время жизни для записей DNS Лимит количества DNS-запросов в секунду на пользователя Устанавливает ограничение на количество DNSзапросов в секунду для каждого пользователя. Запросы, превышающие данный параметр будут отброшены. Значение по умолчанию – 100 запросов в секунду. Не рекомендуется ставить большие значения Entensys | Administrator's Guide 48 для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов Только A и AAAA DNSзаписи для не идентифицированных пользователей (защита от VPN поверх DNS) Если включена, то UTM отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх DNS С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory. Чтобы создать правило DNS-прокси необходимо выполнить: следующие шаги: Наименование Описание Шаг 1. Добавить правило Нажать на кнопку Добавить, задать Название и Описание (опционально) Шаг 2. Указать список доменов Задать список доменов, которые необходимо перенаправлять, например, localdomain.local. Допускается использование ‘*’ для указания шаблона доменов Шаг 3. Указать DNSсерверы Задать список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены Кроме этого с помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись, необходимо выполнить: Наименование Описание Шаг 1. Добавить запись Нажать на кнопку Добавить, задать Название и Описание (опционально) Шаг 2. Указать FQDN Задать Fully Qualified Domain Name (FQDN) статической записи, например, www.example.com Entensys | Administrator's Guide 49 Шаг 3. Указать IPадреса Задать список IP-адресов, которые сервер UserGate UTM будет возвращать при запросе данного FQDN Маршруты Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IPподсетей. Маршрут применяется локально к тому узлу кластера, на котором он создается. Для добавления маршрута необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Выбрать узел кластера Выбрать в выпадающем меню узел, на котором будет создан маршрут Шаг 2. Указать адрес назначения Задать подсеть, куда будет указывать маршрут, например 172.16.20.0/24 или 172 .16.20.5/32 Шаг 3. Указать шлюз Задать IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с сервера UTM Шаг 4. Указать интерфейс Выбрать интерфейс, на который будет добавлен маршрут Шаг 5. Указать метрику Задать метрику маршрута. Чем меньше метрика, тем приоритетней маршрут, если маршрутов несколько Entensys | Administrator's Guide 50 Пользователи и устройства Политики безопасности, правила межсетевого экрана, правила веб-безопасности и многие другие возможности UserGate UTM могут быть применены к пользователям или группам пользователей. Возможность применения политик только к тем пользователям, которым это необходимо, позволяет администратору гибко настроить свою сеть в соответствии с потребностями организации. Идентификация пользователя – это базисная функция любого UTM-устройства. Пользователь считается идентифицированным, если система однозначно связала пользователя с IP-адресом устройства, с которого пользователь подключается к сети. UserGate UTM использует различные механизмы для идентификации пользователей: § Идентификация по явно указанному IP-адресу § Идентификация по имени и паролю § Идентификация пользователей терминальных серверов Microsoft с помощью специального Агента терминального сервиса § Идентификация пользователей с помощью агента авторизации (для Windows-систем) Идентификация пользователей по имени и паролю возможна через Captive-портал, который в свою очередь может быть настроен на идентификацию пользователей с помощью каталогов Active Directory, Radius, Kerberos или локальной базы пользователей. UserGate UTM определяет следующие типы пользователей: Наименование Описание Пользователь Unknown Представляет множество пользователей, не идентифицированных системой Пользователь Known Представляет множество пользователей, идентифицированных системой. Методы идентификации пользователей могут быть различными и более подробно будут описаны далее в этой главе Пользователь Any Любой пользователь является сложением множеств пользователей Known и Unknown Определенный пользователь Конкретный пользователь, определенный и идентифицированный в системе, например, пользователь DOMAIN\User, идентифицированный с помощью авторизации в домене Active Directory Entensys | Administrator's Guide 51 Пользователи и группы пользователей могут быть заведены на самом устройстве UserGate UTM – это, так называемые, локальные пользователи и группы или синхронизованные с внешними каталогами, такими как Microsoft Active Directory. Пользователи В данном разделе можно добавить локальных пользователей или отредактировать свойства пользователей, импортированных из Microsoft Active Directory. Здесь же можно временно отключить пользователей или включить их заново. Чтобы создать локального пользователя, необходимо указать единственный обязательный параметр – имя пользователя. Остальные параметры являются необязательными, но для корректной идентификации необходимо указать: § Логин и пароль – для идентификации по имени и паролю. В этом случае потребуется настроить Captiveпортал, где пользователь сможет ввести данное имя и пароль для авторизации § IP-адрес или диапазон для идентификации с помощью IP-адреса. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанного IP-адреса В случае, если у пользователя указан и Логин, и пароль, и IP-адрес, система использует идентификацию по IP-адресу, то есть, идентификация по адресу является более приоритетной. Пользователи, импортированные из домена Active Directory, также могут быть идентифицированы с помощью имени и пароля (необходима настройка сервера авторизации Active Directory) или с помощью IP-адреса. Назначение IP-адреса осуществляется аналогично назначению адреса локальным пользователям. Следует отметить, что имя пользователя должно быть уникальным для всех пользователей UserGate UTM, включая локальных пользователей и пользователей, полученных из Active Directory. Группы Группы пользователей позволяют объединить пользователей для более удобного управления политиками безопасности. Серверы авторизации Серверы авторизации – это внешние источники учётных записей пользователей для UserGate UTM. Система поддерживает следующие типы серверов авторизации: § Сервер авторизации пользователей Active Directory § Сервер авторизации пользователей Radius § Сервер авторизации Kerberos Entensys | Administrator's Guide 52 Серверы авторизации Radius и Kerberos могут осуществлять только авторизацию пользователей, в то время как сервер авторизации Active Directory позволяет также импортировать и синхронизировать пользователей и группы пользователей. Сервер авторизации Active Directory Сервер авторизации Active Directory позволяет: § Синхронизовать пользователей Active Directory с локальной базой пользователей. Синхронизированные пользователи и группы можно использовать при настройке правил фильтрации § Осуществлять авторизацию синхронизованных пользователей через домены Active Directory Для создания сервера авторизации Active Directory необходимо нажать на кнопку Добавить, выбрать Добавить AD-сервер и указать следующие параметры: Наименование Описание Включен Включает или выключает использование данного сервера авторизации Название Название сервера авторизации Использовать для соединений SSL Определяет, требуется ли SSL-соединение для подключение к контроллеру домена Active Directory Интервал синхронизации UserGate UTM будет инициировать синхронизацию с заданным здесь интервалом. При синхронизации обновляются только измененные в Active Directory учетные записи. Интервал, рекомендуемый для большинства случаев – 3600 секунд Интервал повторения Время, по происшествии которого UserGate UTM будет инициировать повторную попытку соединения с сервером Active Directory после неудачно завершенной предыдущей попытки. Рекомендуемое значение – 300 секунд Bind DN («login») Имя пользователя, которое необходимо использовать для подключения к серверу Active Directory. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене Пароль Пароль пользователя для подключения к домену Entensys | Administrator's Guide 53 Сервер Список IP-адресов контроллеров домена Active Directory. В случае леса доменов или дерева доменов необходимо указывать IP-адреса контроллеров домена, выполняющих функцию Глобального Каталога Корневые пути Список путей в Active Directory, начиная с которых, система будет осуществлять синхронизацию пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com После создания сервера необходимо проверить корректность параметров, кликнув на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения. После успешной настройки сервера в разделе Пользователи и Группы должны появиться доменные записи. Синхронизация пользователей закончена. Для авторизации синхронизированных пользователей можно использовать идентификацию по IP-адресу (для этого каждому синхронизируемому пользователю необходимо прописать IP-адрес), либо использовать идентификацию по имени и паролю, для чего необходимо создать правила Captive-портала. Более подробно о Captive-портале рассказывается в следующих главах руководства. Сервер авторизации пользователей Radius Сервер авторизации Radius позволяет авторизовать пользователей на серверах Radius, то есть UserGate UTM выступает в роли Radius-клиента. При авторизации через Radius сервер UserGate UTM посылает на сервера Radius информацию с именем и паролем пользователя, а Radius-сервер отвечает успешно прошла авторизация или нет. В отличие от серверов авторизации Active Directory сервер Radius не может предоставить список пользователей в UserGate UTM и, если пользователи не были заведены в UTM предварительно (например, как локальные пользователи или синхронизацией с доменом AD), то в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере Radius) или Unknown (не прошедших авторизацию). Для создания сервера авторизации Radius необходимо нажать на кнопку Добавить, выбрать Добавить Radius-сервер и указать следующие параметры: Наименование Описание Включен Включает или выключает использование данного сервера авторизации Entensys | Administrator's Guide 54 Название сервера Название сервера авторизации Секрет Общий ключ, используемый протоколом Radius для авторизации Хост IP-адрес сервера Radius Порт UDP-порт, на котором сервер Radius слушает запросы на авторизацию. По умолчанию это порт UDP 1812 После создания сервера авторизации необходимо настроить Captive-портал для использования метода авторизации Radius. Более подробно о Captive-портале рассказывается в следующих главах руководства. Сервер авторизации Kerberos Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory, то есть настроить Single Sign On (SSO). При авторизации через Kerberos сервер UserGate UTM работает с контроллерами домена, которые сообщают ему имя пользователя, который получает доступ в интернет. Аналогично серверам авторизации Radius сервер Kerberos не может предоставить список пользователей в UserGate UTM и, если пользователи не были заведены в UTM предварительно (например, как локальные пользователи или синхронизацией с доменом AD), то в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию Kerberos) или Unknown (не прошедших авторизацию). Для авторизации Kerberos необходимо выполнить следующие действия: Наименование Описание Шаг 1. Настроить DNSсерверы на UTM В настройках UTM в качестве системных DNS-серверов указать IP-адреса контроллеров домена Шаг 2. Настроить синхронизацию времени с контроллером домена В настройках UTM включить синхронизацию времени с серверами NTP, в качестве основного и опционально запасного NTP-сервера указать IP-адреса контроллеров домена Шаг 3. Создать DNSзапись сервера UTM На контроллере домена создать DNS-запись, соответствующую машине с UserGate UTM, например, utm.domain.loc Entensys | Administrator's Guide 55 Создать пользователя в домене AD, например, utm@domain.loc с опцией "password never expires" Шаг 4. Создать пользователя для сервера UTM Шаг 5. Создать keytab файл Важно! Не используйте символы национальных алфавитов, например кириллицу, в именах пользователя utm или в организационных единицах Active Directory, где вы планируете создать учетную запись пользователя utm На контроллере домена, создать keytab файл, выполнив следующую команду из под администратора (команда в одну строку!): ktpass.exe /princ HTTP/utm.domain.loc@DOMAIN.LOC /mapuser utm@DOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab Шаг 6. Создать сервер авторизации типа Kerberos Создать сервер авторизации типа Kerberos, дать ему название и загрузить полученный на предыдущем шаге keytab-файл Шаг 7. Создать правило Captive-портала с авторизацией Kerberos Настроить Captive-портал для использования метода авторизации Kerberos. Более подробно о Captiveпортале рассказывается в следующих главах руководства Шаг 8. Разрешить доступ к сервису HTTP(S) для зоны В разделе Зоны разрешить доступ к сервису HTTP(S)прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos Шаг 9. Настроить прокси-сервер на компьютерах пользователей На компьютерах пользователей указать обязательное использование прокси-сервера в виде FQDN-имени UTM, например, utm.domain.loc, порт 8090 Настройка Captive-портала Captive-портал позволяет авторизовать неизвестных пользователей (Unknown users) с помощью методов авторизации с использованием каталогов Active Directory, Radius, Kerberos или локальной базы пользователей. Кроме этого, с помощью Captive-портала можно настроить самостоятельную регистрацию пользователей с подтверждением идентификации через SMS или Email. Следует помнить, что: § Идентифицированные пользователи, например, у которых явно в свойствах пользователя указан IP-адрес, идентифицированные с помощью агентов авторизации терминальных серверов или для систем Windows Entensys | Administrator's Guide 56 не авторизуются на Captive-портале. Такие пользователи уже относятся к типу Known users и не требуют дополнительной идентификации § Авторизация с помощью Captive-портал возможна только для протоколов HTTP и HTTPS. Например, если вы создали правило межсетевого экрана, разрешающее доступ в интернет по протоколу FTP только для пользователя Known users, то пользователи не смогут получить доступ в интернет по этому протоколу до тех пор, пока они не станут идентифицированными, то есть не запустят у себя браузер и не пройдут авторизацию на Captive-портале § Если Captive-портал использует метод авторизации Active Directory, то пользователь должен указывать в качестве логина свое доменное имя в формате DOMAIN\username или username@domain Настройка Captive-портала сводится к следующим шагам: Наименование Описание Шаг 1. Создать метод авторизации, например, авторизация с помощью домена Active Directory В консоли UserGate UTM в разделе Пользователи и устройстваàСерверы авторизации нажать на кнопку Добавить и создать сервер авторизации Шаг 2. Создать Captiveпрофиль, в котором указать необходимые методы авторизации В консоли UserGate UTM в разделе Пользователи и устройстваàCaptive-профили нажать на кнопку Добавить и создать captive-профиль, используя созданный ранее метод авторизации Шаг 3. Создать правило Captive-портала В консоли UserGate UTM в разделе Пользователи и устройстваàCaptive-портал нажать на кнопку Добавить и создать правило captive-портала Шаг 4. Настроить DNS для доменов auth.captive и logout.captive Служебные доменные имена auth.captive и logout.captive используются UserGate UTM для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UTM, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UTM, который подключен в клиентскую сеть Создание методов авторизации подробно рассматривалось в предыдущих главах. Рассмотрим более подробно создание Captive-профиля и правил Captive-портала. Чтобы создать Captive-профиль необходимо в разделе Captive-профили нажать на кнопку Добавить и указать необходимые параметры: Наименование Entensys | Administrator's Guide Описание 57 Название Название Captive-профиля Описание Описание Captive-профиля Шаблон страницы авторизации Выбрать шаблон страницы авторизации. Создавать страницы авторизации можно в разделе Библиотеки/Шаблоны страниц. Если необходимо настроить самостоятельную регистрацию пользователей с подтверждением по SMS или Email, то следует выбрать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth) Метод, с помощью которого UserGate UTM запомнит пользователя. Возможны 2 варианта: § Это рекомендуемое значение, устанавливаемое по умолчанию. Метод идентификации § URL для редиректа Entensys | Administrator's Guide Запоминать IP-адрес. После успешной авторизации пользователя через Captive-портал UserGate UTM запоминает IP-адрес пользователя, и все последующие соединения с этого IP-адреса будут относятся к данному пользователю. Данный метод позволяет идентифицировать данные, передаваемые по любому из протоколов семейства TCP/IP, но не будет корректно работать при наличии NATподключения между пользователями и сервером UserGate UTM. Запоминать cookie. После успешной авторизации пользователя через Captive-портал UserGate UTM добавляет в браузер пользователя cookie, с помощью которого идентифицирует последующие соединения данного пользователя. Данный метод позволяет авторизовать пользователей, находящихся за NAT-устройством, но авторизуется только протокол HTTP/S и только в том браузере, в котором происходила авторизация через Captive-портал. Кроме этого, для авторизации HTTPS-сессий пользователя, UserGate UTM будет принудительно дешифровать все HTTPSсоединения URL, куда будет перенаправлен пользователь, после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL 58 Время бездействия до отключения Данный параметр определяет через сколько секунд UserGate UTM переведет пользователя из Known users в Unknown users при неактивности пользователя (отсутствии сетевых пакетов с IP-адреса пользователя). Устанавливайте короткой время, порядка 30-60 секунд, для авторизации Kerberos Время жизни авторизованного пользователя Данный параметр определяет через сколько секунд UserGate UTM переведет пользователя из Known users в Unknown users. По происшествии указанного времени пользователю потребуется повторно авторизоваться на Captive-портале Число неудачных попыток авторизации Разрешенное количество неудачных попыток авторизации через Captive-портал до блокировки учетной записи пользователя Время блокировки пользователя Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации Предлагать выбор домена AD/LDAP на странице авторизации Captive-портала Если в качестве метода аутентификации используется авторизация с помощью Active Directory, то при включении данного параметра пользователь сможет выбрать имя домена из списка на странице авторизации. Если данный параметр не включен, пользователь должен явно указывать домен в виде DOMAIN\username или username@domain Методы аутентификации Созданные ранее методы авторизации пользователей, например, сервер авторизации Active Directory. Если указано более одного метода авторизации, то они будут использоваться в порядке, в котором они перечислены в консоли. Метод авторизации Принять политику позволяет использовать шаблон авторизации без требования вводить имя и пароль, достаточно согласия пользователя с политикой доступа к сети Для настройки самостоятельной регистрации пользователей с подтверждением пароля с помощью SMS или Email необходимо настроить параметры на вкладке Регистрация временных пользователей. Следует помнить, что в этом случае необходимо использовать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth). Наименование Entensys | Administrator's Guide Описание 59 Профиль оповещения Профиль оповещения, который будет использоваться для отсылки информации о созданном пользователе и его пароле. Может использоваться 2 типа – SMS и Email. Более подробно о создания профиля оповещения смотрите в главе Оповещения От Указать от имени кого будут отправляться оповещения Тема оповещения Тема оповещения (только для Email-оповещений) Письмо оповещения Тело письма сообщения. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль. Дата и время окончания Время, когда учетная запись временного пользователя будет отключена Время жизни Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена Группы Группа для временных пользователей, в которую будут помещены создаваемые пользователи. О группах для временных пользователей читайте в главе Временные пользователи Чтобы создать правило Captive-портала необходимо нажать на кнопку Добавить в разделе правил Captive-портала и указать необходимые параметры: Наименование Описание Название Название правила Captive-портала Описание Описание правила Captive-портала Captive-профиль Выбрать Captive-профиль, созданный ранее. Доступно действие Не использовать аутентификацию, при выборе которого авторизация не будет требоваться Entensys | Administrator's Guide 60 Источник Адреса Источника. В качестве источника можно указать определенную зону, например, зону LAN и диапазон адресов IP Назначение IP-адреса назначения. Могут быть использованы IP адреса стран (Geo-IP) Категории URLфильтрации Категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию URL Списки URL, для которых будет применяться правило Время Время, когда данное правило будет активно Таким образом, создав несколько правил Captive-портала, можно настроить различные политики идентификации пользователей для различных зон, адресов и времени. Важно! Условия, указанные во вкладках правила, применяются согласно логике “И”, то есть требуют совпадения всех указанных условий для того, чтобы правило сработало. Если необходимо использовать логику “ИЛИ”, то это достигается путем создания нескольких правил. Важно! Правила применяются в порядке, в котором они отображаются в консоли. Вы можете изменить порядок правил с помощью соответствующих кнопок. Важно! При обработке правил применяется только первое сработавшее правило. В случае, если необходимо сменить пользователя после его авторизации в системе или выйти из системы необходимо перейти на url http://logout.captive или на http://UTM_IP_address:8002/cps и нажать на кнопку Выйти. Пользователи терминальных серверов Терминальный сервер служит для удалённого обслуживания пользователя с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема идентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и UTM не может корректно идентифицировать сетевые подключения пользователей. Для решения данной проблемы предлагается использование специального агента терминального сервиса. Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на сервер UserGate UTM информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса Entensys | Administrator's Guide 61 может идентифицировать трафик пользователей, передаваемый только с помощью TCP и UDP протоколов. Протоколы, отличные от TCP/UDP, например ICMP, не могут быть идентифицированы. Чтобы начать работу с идентификацией пользователей на терминальных серверах необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Задать пароль агентов терминального сервера В консоли UserGate UTM в разделе Пользователи и устройстваà Терминальные серверы нажать на кнопку Настройки и задать Пароль агентов терминального сервера Шаг 2. Установить агента терминального сервера Установить агента терминального сервера на все сервера, для которых необходимо идентифицировать пользователей. При установке следует задать IP-адрес сервера UserGate UTM и заданный на предыдущем шаге пароль Шаг 3. Включите необходимые серверы в консоли UTM После установки агентов в консоли UTM появится список терминальных серверов. С помощью кнопок Включить и Отключить можно разрешить или запретить принимать идентификацию пользователей с выбранных серверов UTM теперь будет получать информацию о пользователях. Если в системе настроена синхронизация пользователей с Active Directory, то в политиках безопасности можно использовать имена пользователей, как они указаны в Active Directory. Если списка пользователей в UTM нет, то можно использовать пользователей Known и Unknown. Агент авторизации для Windows Для пользователей, работающих на операционной системе Windows, существует еще один способ идентификации – использовать специального агента авторизации. Агент представляет собой сервис, который передает на сервер UserGate UTM информацию о пользователе, его имя и IP-адрес, соответственно UserGate UTM будет однозначно определять все сетевые подключения данного пользователя и идентификации другими методами не требуется. Чтобы начать работу с идентификацией пользователей с помощью агента авторизации необходимо выполнить следующие шаги: Наименование Entensys | Administrator's Guide Описание 62 Шаг 1. Задать пароль агентов терминального сервера В консоли UserGate UTM в разделе Пользователи и устройстваà Терминальные серверы нажать на кнопку Настройки и задать Пароль агентов терминального сервера Шаг 2. Установить агента авторизации Установить агента авторизации на все компьютеры, для которых необходимо идентифицировать пользователей. При установке следует задать IP-адрес сервера UserGate UTM и заданный на предыдущем шаге пароль UTM теперь будет получать информацию о пользователях. Если в системе настроена синхронизация пользователей с Active Directory, то в политиках безопасности можно использовать имена пользователей, как они указаны в Active Directory. Если списка пользователей в UTM нет, то можно использовать пользователей Known и Unknown. Временные пользователи UTM позволяет создавать списки временных пользователей. Данная возможность может быть полезна для гостиниц, публичных Wi-Fi сетей интернет, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время. Временные пользователи могут быть созданы заранее администратором системы или пользователям может быть предоставлена возможность самостоятельной регистрации в системе с подтверждением через SMS или Email. Для создания списка временных пользователей администратором необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать администратора временных пользователей (опционально) В разделе Управление устройством в подразделе Администраторы UTM нажмите кнопку Добавить и создайте администратора. Укажите роль – Администратор временных пользователей. Данная роль дает доступ в консоль управления временными пользователями Шаг 2. Создать группу, в которую будут помещены временные пользователи. Группа необходима для удобства управления политиками доступа В консоли UserGate UTM в разделе Группы нажать на кнопку Добавить и создать группу, отметив поле Группа для временных пользователей. Более подробно о создании групп пользователей смотрите соответствующий раздел руководства Entensys | Administrator's Guide 63 временных пользователей Шаг 3. Подключиться к консоли управления временными пользователями В браузере перейти на адрес https://IP_UTM:8001/ta Для авторизации необходимо использовать логин и пароль администратора устройства или администратора временных пользователей, созданного на шаге 1 В консоли нажать на кнопку Добавить и заполнить поля: Шаг 4. Создать список пользователей § Количество пользователей § Комментарий § Дата и время окончания – время, когда учетная запись временного пользователя будет отключена § Время жизни – продолжительность времени с момента первой авторизации временного пользователя, по истечении которого учетная запись будет отключена § Группа – группа, созданная на шаге 2, в которую будут помещены создаваемые пользователи Список созданных пользователей можно посмотреть в разделе Пользователи консоли управления временными пользователями. Для самостоятельной регистрации пользователей в системе необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать профиль оповещения SMPP (для подтверждения через SMS) или SMTP (для подтверждения через Email) В разделе Оповещения в подразделе Профили оповещений нажмите кнопку Добавить и создайте профиль оповещения SMPP или SMTP. Более подробно о создании профилей оповещения смотрите раздел руководства Оповещения Шаг 2. Создать группу, в которую будут помещены временные пользователи. Группа необходима для удобства управления политиками доступа В консоли UserGate UTM в разделе Группы нажмите на кнопку Добавить и создайте группу, отметив поле Группа для временных пользователей. Более подробно о создании групп пользователей смотрите соответствующий раздел руководства Entensys | Administrator's Guide 64 временных пользователей Шаг 3. Создать профиль Captive-портала, в котором указать использование профиля оповещений, для отсылки информации о созданной учетной записи В разделе Пользователи и устройства в подразделе Captive-профили создайте профиль, указав в нем использование созданного ранее профиля оповещения. Укажите в качестве страницы авторизации шаблон Captive portal: email auth или Captive portal: SMS auth, в зависимости от способа отправки оповещения. Настройте сообщение оповещения, группу, в которую будут помещены временные пользователи, времена действия учетной записи. Более подробно о создании профилей оповещения смотрите раздел руководства Пользователи и устройстваàНастройка Captiveпортала Шаг 4. Создать правило Captive-портала, которое будет использовать созданный на предыдущем шаге Captive-профиль В разделе Пользователи и устройства в подразделе Captive-портал создайте правило, которое будет использовать созданный ранее Captive-профиль. Более подробно о создании правил Captive-портала смотрите раздел руководства Пользователи и устройстваàНастройка Captive-портала Политики BYOD Многие компании поддерживают работу сотрудников с персональных устройств, принадлежащим самим сотрудникам. Это так называемые устройства BYOD (Bring Your Own Device). UserGate UTM дает администратору возможность управлять BYOD устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указать конкретные устройства, с которых будет разрешен доступ в интернет. Важно! Управление BYOD требует наличия корректно настроенной авторизации пользователей через Captive-портал. Пользовательские устройства, не авторизованные с помощью captiveпортала не могут управляться с помощью политик BYOD. Более подробно о Captive-портале смотрите в главе «Настройка Captive-портала». Для управления устройствами BYOD необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать правило Captive-портала Подробно о создании правил Captive-портала смотрите раздел Настройка Captive-портала Entensys | Administrator's Guide 65 Шаг 2. Создать политику BYOD Создать одно или несколько правил политики BYOD Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то разрешены все типы устройств. Чтобы создать правило политики BYOD необходимо нажать на кнопку Добавить в разделе правил Политики BYOD и указать необходимые параметры: Наименование Описание Название Название правила политики BYOD Описание Описание правила политики BYOD Действие Разрешить – разрешает подключение к сети устройств, удовлетворяющим условиям правила Запретить – запрещает подключение к сети устройств, удовлетворяющим условиям правила Подтверждение администратора Только для разрешающих правил. Если данная опция включена, то после первой успешной авторизации пользователя через Captive-портал устройство пользователя помещается в список устройств BYOD, но доступ в сеть не предоставляется до подтверждения данного устройства администратором Разрешено устройств всего Только для разрешающих правил. Максимально количество устройств, с которых пользователь может получать доступ в сеть. Если в правиле используются типы пользователей Known, Unknown или Any, то данный параметр не применяется Разрешено устройств одновременно Только для разрешающих правил. Максимально количество устройств, с которых пользователь одновременно может получать доступ в сеть. Если в правиле используются типы пользователей Known, Entensys | Administrator's Guide 66 Unknown или Any, то данный параметр не применяется Пользователи и группы Список пользователей и групп пользователей для которых применяется данное правило политики BYOD Тип устройства Тип устройств, для которых применяется данное правило политики BYOD Устройства, с которых пользователи подключаются в сеть, отображаются в разделе Пользователи и устройстваàУстройства BYOD. Администратор может запретить доступ пользователя с определенного устройства, выбрав устройство в списке и нажав на кнопку Отключить, или разрешить доступ, нажав на кнопку Включить. Здесь же можно подтвердить доступ пользователя с определенного устройства в случае, если политика BYOD требует подтверждение устройства администратором. Entensys | Administrator's Guide 67 Политики сети Раздел Политики сети содержит три подраздела: § Межсетевой экран § NAT и маршрутизация § Пропускная способность С помощью политик сети администратор может настроить необходимый доступ в интернет для своих пользователей, опубликовать внутренние ресурсы сети в интернет, управлять скоростью передачи данных для определённых сервисов и приложений. Важно! Правила, созданные в данных разделах, применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Для предоставления пользователям доступа в интернет необходимо: Наименование Описание Шаг 1. Создать правило NAT Смотрите раздел NAT и маршрутизация Шаг 2. Создать разрешительное правило межсетевого экрана Смотрите раздел Межсетевой экран Шаг 3. Настроить правила фильтрации контента (опционально) Смотрите раздел Фильтрация контента Для публикации внутреннего ресурса в интернет необходимо: Наименование Описание Шаг 1. Создать правило DNAT Смотрите раздел NAT и маршрутизация Чтобы указать для определенного сервиса или адреса выход в интернет через альтернативного провайдера, необходимо: Entensys | Administrator's Guide 68 Наименование Описание Шаг 1. Создать правило Route Смотрите раздел NAT и маршрутизация Для того чтобы запретить или разрешить определенный тип трафика, проходящий через UTM, необходимо: Наименование Описание Шаг 1. Создать правило межсетевого экрана Смотрите раздел Межсетевой экран Для того чтобы ограничить распределить трафик между несколькими внутренними серверами, необходимо: Наименование Описание Шаг 1. Создать правило Балансировки нагрузки Смотрите раздел Балансировка нагрузки Для того чтобы ограничить скорость для определенного сервиса или приложения, необходимо: Наименование Описание Шаг 1. Создать правило Пропускной способности Смотрите раздел Пропускная способность Межсетевой экран С помощью правил сетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UTM. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи и группы, сервисы и приложения. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то любой транзитный трафик через UTM запрещен. Entensys | Administrator's Guide 69 Чтобы создать правило Межсетевого экрана, необходимо нажать на кнопку Добавить в разделе Политики сетиà Межсетевой экран и указать необходимые параметры. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Описание Описание правила Запретить – блокирует трафик Действие Разрешить – разрешает трафик Включить логирование Записывает в лог информацию о трафике при срабатывании правила Источник Зона(ы) и IP-адреса источника трафика Пользователи Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known, необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Идентификация пользователей Назначение Зона(ы) и IP-адреса назначения трафика Сервис Тип сервиса, например, HTTP или HTTPS Приложение Список приложений, для которых применяется данное правило NAT и маршрутизация С помощью правил NAT и маршрутизации администратор может создавать правила NAT, DNAT и правила маршрутизации. UserGate UTM поддерживает NAT/DNAT для сложных протоколов, которые Entensys | Administrator's Guide 70 могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT. Правила NAT Чтобы создать правило NAT, необходимо нажать на кнопку Добавить в разделе Политики сетиà NAT и маршрутизация и указать необходимые параметры. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Комментарий Описание правила Тип Выбрать NAT Источник Зона(ы) и IP-адреса источника трафика. Обычно зона Trusted Назначение Зона(ы) и IP-адреса назначения трафика. Обычно зона Untrusted Сервис Тип сервиса, например, HTTP, HTTPS или другой Важно! Рекомендуется создавать общие правила NAT, например, правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничивать доступ по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана. Entensys | Administrator's Guide 71 Правила DNAT Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет. Чтобы создать правило DNAT, необходимо нажать на кнопку Добавить в разделе Политики сетиà NAT и маршрутизация и указать необходимые параметры. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Комментарий Описание правила Тип Выбрать DNAT Источник Зона(ы) и IP-адреса источника трафика. Обычно зона Untrusted Назначение Зона(ы) и IP-адреса назначения трафика. Обычно зона Trusted Сервис Тип сервиса, который необходимо опубликовать, например, HTTP. Если не указан сервис, то будут опубликованы все сервисы Адрес назначения DNAT IP-адрес компьютера в локальной сети, который публикуется в интернет Порт DNAT Порт, на опубликованном компьютере, куда пересылать трафик. Например, если был указан сервис HTTP (TCP 80), то UTM будет слушать запросы на портe 80 на внешнем интерфейсе и пересылать запросы на указанный здесь порт на публикуемый сервер Маскирование (SNAT target) При включении данной опции UserGate UTM будет изменять адрес источника в пакетах из внешней сети на сервера DNAT на свой IP-адрес Entensys | Administrator's Guide 72 Правила маршрутизации Правила маршрутизации обычно используются для указания определенного маршрута в интернет для определенных хостов и/или сервисов. Например, в организации используются 2 провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной – через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию в интернет-шлюз провайдера 2 и настроить правило маршрутизации для HTTPS-трафика через шлюз провайдера 1. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Чтобы создать правило маршрутизации, необходимо нажать на кнопку Добавить в разделе Политики сетиà NAT и маршрутизация и указать необходимые параметры. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Комментарий Описание правила Тип Выбрать Маршрут Шлюз Выбрать один из существующих шлюзов. Вы можете добавить шлюз в разделе СетьàШлюзы Источник Зона(ы) и IP-адреса источника трафика Сервис Тип сервиса, например, HTTP, HTTPS или другой Балансировка нагрузки UserGate UTM позволяет осуществлять балансировку нагрузки на различные сервисы, находящиеся внутри локальной сети. Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет (DNAT), так и для внутренних серверов без публикации. Балансировщик распределяет запросы, поступающие на IP-адрес виртуального сервера, на IP-адреса реальных Entensys | Administrator's Guide 73 серверов, используя при этом различные методы балансировки. Чтобы настроить балансировку, необходимо в разделе Сеть-Балансировка нагрузки создать правила балансировки. При создании правила балансировки необходимо указать следующие параметры: Наименование Описание Включен Включает или выключает данное правило Название Название правила балансировки Описание Описание правила балансировки IP-адрес виртуального сервера Необходимо выбрать из списка IP-адресов, назначенных на сетевые интерфейсы. При необходимости администратор может добавить дополнительные IP-адреса на желаемый интерфейс Протокол Протокол – TCP или UDP, для которого необходимо производить балансировку нагрузки Порт Порт, для которого необходимо производить балансировку нагрузки Возможны 4 различных метода распределения нагрузки на реальные серверы: § Round robin - каждое новое подключение передается на следующий сервер в списке, равномерно загружая все серверы § Weighted round robin – работает аналогично Round robin, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера § Least connections – новое подключение передается на сервер, на который в данный момент установлено наименьшее число соединений § Weighted least connections - работает аналогично Least connections, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера Метод балансировки Entensys | Administrator's Guide 74 Добавляется пул реальных серверов, на которые перенаправляется трафик. Для каждого из серверов необходимо указать: § IP-адрес сервера § Порт сервера. Порт, на который пересылать запросы пользователей § Вес. Данный коэффициент используется для неравномерного распределения нагрузки на реальные серверы для режимов балансировки weighted round robin и weighted least connections. Чем больше вес, тем больше будет нагрузка на сервер § Режим. Может быть два варианта: Gate – для перенаправления трафика на виртуальный сервер используется маршрутизация. Masq – для перенаправления трафика на виртуальный сервер используется NAT Реальные серверы Аварийный режим используется, когда не доступен ни один из реальных серверов. Для активации аварийного режима необходимо включить его и указать: Аварийный режим Мониторинг Режим § IP-адрес сервера, куда будут пересылаться запросы в аварийном режиме § Порт сервера. Порт, на который пересылать запросы пользователей § Режим. Может быть два варианта: Gate – для перенаправления трафика на виртуальный сервер используется маршрутизация. Masq – для перенаправления трафика на виртуальный сервер используется NAT С помощью мониторинга можно настроить проверку реальных серверов на определение их работоспособности. Если проверка прошла неуспешно для реального сервера, он исключается из балансировки Способ мониторинга реальных серверов. Возможны варианты: § Entensys | Administrator's Guide ping – проверить доступность узла с помощью утилиты ping 75 § connect – проверить работоспособность узла, установив TCP-соединение на определенный порт § negotiate – проверить работоспособность узла посылкой определенного http или DNS-запроса и сравнением полученного ответа с ожидаемым ответом Интервал проверки Интервал времени, через которое должна выполняться проверка Время ожидания Интервал времени ожидания ответа на проверку Число неудачных попыток Количество попыток проверки реальных серверов, по истечению которых сервер будет считаться неработоспособным и будет исключен из балансировки Важно! Правила балансировки имеют более высокий приоритет и применяются до правил NAT/DNAT/Маршрутизации. Пропускная способность Правила управления пропускной способностью используются для ограничения канала для определенных пользователей, хостов, сервисов, приложений. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Чтобы создать правило пропускной способности, необходимо нажать на кнопку Добавить в разделе Политики сетиà Пропускная способность и указать необходимые параметры. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Описание Описание правила Entensys | Administrator's Guide 76 Полоса пропускания Выбрать одну из полос пропускания. Создать дополнительные полосы пропускания можно в разделе БиблиотекиàПолосы пропускания Источник Зона(ы) и IP-адреса источника трафика Пользователи Пользователи или группы пользователей, к которым применится правило Назначение Зона(ы) и IP-адреса назначения трафика Сервис Тип сервиса, например, HTTP, HTTPS или другой Приложения Список приложений, для которых необходимо ограничить полосу пропускания. Важно! Для определения приложений необходимо включить модуль Контроль приложений в разделе Настройки Entensys | Administrator's Guide 77 Управление политиками безопасности Раздел Политики безопасности содержит три подраздела: § Фильтрация контента § Веб-безопасность § Дешифрация HTTPS § Система обнаружения вторжений (СОВ) § Защита почтового трафика С помощью политик безопасности администратор может: § Настроить фильтрацию HTTP-контента, например, запретить некоторым пользователям доступ к определенным категориям сайтам в заданное время или настроить антивирусную проверку веб-контента § Настроить опции веб-безопасности, например, включить принудительный безопасный поиск и блокировку рекламы § Настроить правила дешифрации протокола HTTPS, например, для всех пользователей расшифровывать HTTPS для категории “Форумы” и для определенной группы – “Социальные сети”. После того как HTTPS расшифрован, к нему могут быть применены политики фильтрации контента и веб-безопасности; § Включить и настроить параметры СОВ § Настроить проверку почтовых протоколов SMTP и POP3 на проверку на наличие спама и вирусов Важно! Правила, созданные в данных разделах, применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Для фильтрации HTTP-контента необходимо: Наименование Описание Шаг 1. Создать правила контентной фильтрации Смотрите раздел Фильтрация контента Для применения опций веб-безопасности необходимо: Наименование Описание Шаг 1. Создать правила веб-безопасности Смотрите раздел Веб-безопасность Для дешифрации HTTPS необходимо: Entensys | Administrator's Guide 78 Наименование Описание Шаг 1. Создать правила HTTPS-дешифрации Смотрите раздел Настройка дешифрации HTTPS Для настройки СОВ: Наименование Описание Шаг 1. Создать правила СОВ Смотрите раздел Система обнаружения и предотвращения вторжений Для настройки защиты почтовых протоколов: Наименование Описание Шаг 1. Создать правила защиты почтового трафика Смотрите раздел Защита почтового трафика Фильтрация контента С помощью правил фильтрации контента администратор может разрешить или запретить определенный контент, передаваемый по протоколу HTTP и HTTPS, если настроена дешифрация HTTPS. Кроме этого, может быть настроена передача контента на анализ на внешние серверы по протоколу ICAP, например, для проверки трафика внешней DLP-системой. В качестве условий правила могут выступать: § Пользователи и группы § Наличие на веб-страницах определенных слов и выражений (морфология) § Принадлежность сайтов категориям § URL § Зона и IP-адрес источника § IP-адреса назначения § Тип MIME § Время Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Entensys | Administrator's Guide 79 Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то передача любого контента разрешена. Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чтобы создать правило контентной фильтрации, необходимо нажать на кнопку Добавить в разделе Политики безопасностиà Фильтрация контента и указать необходимые параметры. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Описание Описание правила Запретить – блокирует веб-страницу Действие Предупредить – предупреждает пользователя о том, что страница нежелательна для посещения. Пользователь сам решает, отказаться от посещения или посетить страницу. Запись о посещении страницы заносится в журнал Разрешить – разрешает трафик Проверять облачным антивирусом Entensys Доступно только для правил с действием Запретить, т.е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т.д.), то антивирусная проверка будет выполняться только при совпадении всех условий правила. Проверять модулем Kaspersky Antivirus Доступно только для правил с действием Запретить, т.е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т.д.), то антивирусная проверка будет выполняться только при совпадении всех условий правила. Важно! Включите модуль Kaspersky Antivirus в разделе Настройки Entensys | Administrator's Guide 80 Включить логирование Записывает в лог информацию при срабатывании правила Страница блокировки Указывает страницу блокировки, которая будет показана пользователю, при блокировке доступа к ресурсу. Можно использовать внешнюю страницу, указав Использовать внешний URL, либо указать страницу блокировки UTM. В этом случае можно выбрать желаемый шаблон страницы блокировки, который можно создать в разделе БиблиотекиàШаблоны страниц Пользователи Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known, необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Идентификация пользователей Морфология Список баз словарей морфологии, по которым будут проверяться веб-страницы. При наличии соответствующей лицензии для использования доступны словари, обновляемые компанией Entensys, в том числе список материалов, запрещенных Министерством Юстиции Российской Федерации, словари по темам «Суицид», «Терроризм», «Порнография», «Нецензурные выражения», «Азартные игры», «Наркотики», «Защита детей ФЗ-436». Словари доступны на русском, английском, немецком, японском и арабском языках. Администраторы также могут создавать собственные словари. Более подробно о работе с морфологическими словарями читайте в главе БиблиотекиàМорфология Категории Entensys | Administrator's Guide Списки категорий Entensys URL Filtering 3.0. Использование категорий требует наличия специальной лицензии. Entensys URL Filtering 3.0 – это крупнейшая база электронных ресурсов, разделенных для удобства оперирования на 73 категории. В руках администратора находится управление доступом к таким категориям, как порнография, вредоносные сайты, онлайн-казино, игровые и развлекательные сайты, социальные сети и многие другие 81 URL Списки URL. При наличии соответствующей лицензии доступны для использования списки URL, обновляемые компанией Entensys, такие как «Черный список Entensys», «Белый список Entensys», «Черный список Роскомнадзора», «Черный список фишинговых сайтов», «Поисковые системы без безопасного поиска». Администраторы также могут создавать собственные списки URL. Более подробно о работе со списками URL читайте в главе БиблиотекиàСписки URL Тип контента Списки MIME-типов. Предусмотрена возможность управления видео контентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе БиблиотекиàТипы контента Исходная зона Зона источника трафика Адрес источника Списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе БиблиотекиàIP-адреса Адрес назначения Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе БиблиотекиàIP-адреса Время Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе БиблиотекиàКалендари Для настройки передачи трафика на внешние ICAP-серверы обратитесь в руководстве к главе Настройки. Важно! Передача трафика на ICAP-серверы выполняется до применения правил фильтрации контента. Запросы в белый список При блокировке сайтов с помощью правил контентной фильтрации пользователь получает страницу блокировки с указанием причины блокировки, на которой указаны имя правила, категорию сайта и/или морфологическую базу, черный список, которые заблокировали сайт. Кроме этого, страница блокировки предлагает пользователю сделать запрос на добавление данного сайта в белый список, в случае, если пользователь не согласен с блокировкой ресурса. При нажатии на Entensys | Administrator's Guide 82 кнопку Добавить в белый список, запрос на добавление появляется в списке запросов в разделе Политики безопасностиàЗапросы в белый список. Администратор может осуществить следующие действия с запросом пользователя: Наименование Описание Добавить в белый список Добавляет данный url в белый список. Администратору будет предложено изменить url и выбрать белый список, в который необходимо добавить данный ресурс Удалить Удаляет данный запрос из списка запросов Отклонить URL Добавляет запрошенный URL в список отклоненных запросов. При последующих блокировках данного URL страница блокировки не будет содержать кнопки Добавить в белый список. Список отклоненных доменов и URL отображается в окне отклоненных запросов Отклонить домен Добавляет домен запрошенного URL в список отклоненных запросов. При последующих блокировках любого URL данного домена страница блокировки не будет содержать кнопки Добавить в белый список. Список отклоненных доменов и URL отображается в окне отклоненных запросов Администратор может проверить категорию интернет ресурса с помощью формы Проверить URL. В случае, если ресурс относится к некорректной категории, администратор может сделать запрос на смену категории, предложив другую категорию и нажав на кнопку Предложить категорию. Запрос на смену категории будет отправлен в компанию Entensys, где будет проверен, и в случае подтверждения будет внесен в ближайшее обновление базы категорий сайтов Entensys URL Filtering. Веб-безопасность С помощью раздела Веб-безопасность администратор может включить дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS, если настроена дешифрация HTTPS, такие как: § Принудительное включение безопасного поиска для поисковых систем (Google, Yandex, Yahoo, Bing, Rambler, Ask), а также на портале YouTube. С помощью данного инструмента блокировка нежелательного контента осуществляется средствами поисковых порталов, что позволяет добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видео контенту § Включение журналирования поисковых запросов пользователей Entensys | Administrator's Guide 83 § Блокировка рекламы. Посещение вполне безопасного сайта может быть связано с принудительным просмотром изображений нежелательного характера, размещенных, например, сбоку на странице. UserGate UTM решает и эту проблему, выступая в качестве «баннерорезки» § Блокировка приложений социальных сетей. Социальные сети играют большую роль в нашей повседневной жизни. Но многие из них предоставляют игровые приложения, использование которых не приветствуется многими компаниями. UTM может блокировать приложения, не затрагивая при этом обычную функциональность социальных сетей В качестве условий правила могут выступать: § Пользователи и группы § Время Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то дополнительные функции веб-безопасности не применяются. Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чтобы создать правило контентной фильтрации необходимо нажать на кнопку Добавить в разделе Политики безопасностиà Веб-безопасность и указать необходимые параметры. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Описание Описание правила Пользователи Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known, необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Идентификация пользователей Время Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе БиблиотекиàКалендари Entensys | Administrator's Guide 84 Безопасный поиск Параметры веббезопасности История поиска Блокировать рекламу Блокировать приложения социальных сетей Настройка дешифрования HTTPS С помощью данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу HTTPS. В UTM используется известная технология man-in-the-middle (MITM), при которой контент расшифровывается на сервере, а затем анализируется. Дешифрование HTTPS необходимо для корректной работы правил фильтрации контента и правил веб-безопасности. С помощью правил данного раздела можно настроить дешифрование HTTPS только для определенных категорий, например, таких как «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п.. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе – SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется. После дешифрования данные шифруются сертификатом, выписанным центром сертификации, указанным в разделе Сертификаты. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить сертификат центра сертификации в доверенные корневые сертификаты. Более подробно это описано в Приложении 1. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то HTTPS не перехватывается и не дешифруются, соответственно контент, передаваемый по HTTPS не фильтруется. Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чтобы создать правило дешифрации HTTPS необходимо нажать на кнопку Добавить в разделе Политики безопасностиà Дешифрование HTTPS и указать необходимые параметры. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Entensys | Administrator's Guide 85 Описание Описание правила Расшифровать Действие Не расшифровывать Блокировать сайты с некорректными сертификатами Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, сертификат которых истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации Пользователи Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known, необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Идентификация пользователей Адрес назначения Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе БиблиотекиàIP-адреса Сервис Сервисы, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S Категории Списки категорий Entensys URL Filtering 3.0. Использование категорий требует наличия специальной лицензии. Entensys URL Filtering 3.0 – это крупнейшая база электронных ресурсов, разделенных для удобства оперирования на 73 категорий. В руках администратора находится управление доступом к таким категориям, как порнография, вредоносные сайты, онлайн-казино, игровые и развлекательные сайты, социальные сети и многие другие Домены Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL, за исключением того, что для дешифрации HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Более подробно о работе со списками URL читайте в главе БиблиотекиàСписки URL Entensys | Administrator's Guide 86 Время Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе БиблиотекиàКалендари В продукте создано правило дешифрации «Decrypt all for unknown users», которое необходимо для авторизации неизвестных пользователей через Captive-портал. Система обнаружения и предотвращения вторжений Система обнаружения и предотвращения вторжений (СОВ) или Intrusion Detection and Prevention System (IDPS) позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется компанией Entensys при наличии соответствующей лицензии. Система IDPS отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал. Для начала работы СОВ необходимо: Наименование Описание Шаг 1. Включить модуль СОВ Включите модуль СОВ в разделе Настройка Шаг 2. Настроить политику СОВ Смотрите раздел Настройка политики СОВ Шаг 3. Создать правила СОВ Смотрите раздел Настройка правил СОВ Для настройки политики СОВ необходимо нажать на кнопку Политика СОВ в разделе Политики безопасностиà СОВ и заполнить поля: Наименование Описание Угрозы низкого риска Угрозы, определенные компанией Entensys, как угрозы с низким уровнем риска. Как правило, это угрозы не представляющие опасности, например, сканирование портов Entensys | Administrator's Guide 87 Угрозы среднего риска Угрозы, определенные компанией Entensys, как угрозы со средним уровнем риска. Эти угрозы предоставляют средний уровень опасности, например, хорошо известные эксплоиты, для которых вендоры выпустили исправления достаточно давно Угрозы высокого риска Угрозы, определенные компанией Entensys, как угрозы с высоким уровнем риска. Эти угрозы предоставляют высокий уровень опасности, например, новые эксплоиты, для которых вендоры еще не выпустили исправления или сделали это недавно Пропускать Действие, которое пропускает данные угрозы СОВ Журналировать Действие, которое записывает информацию об угрозе в журнал Блокировать Действие, которое записывает информацию об угрозе в журнал и блокирует трафик, содержащий атаку Администратор может установить различные действия для угроз разного риска. Рекомендуемая политика СОВ: Наименование Описание Угрозы низкого риска Пропускать Угрозы среднего риска Журналировать Угрозы высокого риска Блокировать Правила СОВ определяют трафик, к которому применяется политика СОВ. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то СОВ не работает. Entensys | Administrator's Guide 88 Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасностиà СОВ и заполнить поля правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Описание Описание правила Источник Зона(ы) и IP-адреса источника трафика Назначение Зона(ы) и IP-адреса назначения трафика Сервис Тип сервиса, например, HTTP, DNS или другие Приложение Список приложений, для которых применяется данное правило Защита почтового трафика Раздел Защита почтового трафика позволяет настроить проверку транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений. Поддерживается работа с почтовыми протоколами POP3(S) и SMTP(S). Защита почтового трафика требует наличия соответствующего модуля в лицензии UserGate UTM. Как правило, необходимо защищать входящий из Интернет почтовый трафик на внутренние почтовые серверы компании и, в некоторых случаях, защищать исходящий почтовый трафик от серверов или пользовательских компьютеров. Для защиты почтового трафика, приходящего из Интернет на внутренние почтовые серверы, необходимо: Наименование Описание Шаг 1. Опубликовать почтовый сервер в сеть Интернет Смотрите раздел Правила DNAT Entensys | Administrator's Guide 89 Шаг 2. Включить поддержку сервисов SMTP(S) и POP3(S) в зоне, подключенной к сети Интернет Смотрите раздел Настройка зон Шаг 3. Создать правила защиты почтового трафика Создайте необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе Для защиты почтового трафика в случаях, когда не требуется публиковать почтовый сервер, действия сводятся к следующим шагам: Наименование Описание Шаг 1. Создать правила защиты почтового трафика Создайте необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе Для настройки правил фильтрации почтового трафика, необходимо нажать на кнопку Добавить в разделе Политики безопасностиà Защита почтового трафика и заполнить поля правила. Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил. Важно! Если не создано ни одного правила, то почтовый трафик не проверяется. Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Наименование Описание Вкл/Выкл Включает или отключает правило Название Название правила Описание Описание правила Entensys | Administrator's Guide 90 Действие, применяемое к почтовому трафику при совпадении всех условий правила: § Пропустить – пропускает трафик без изменений § Маркировать – маркирует почтовые сообщения специальным тэгом в сабжекте письма или дополнительном поле § Блокировать с ошибкой – блокирует письмо, при этом сообщает об ошибке доставки письма серверу SMTP для SMTP(S)-трафика или клиенту POP3 для POP3(S)-трафика § Блокировать без ошибки – блокирует письмо без уведомления о блокировке Действие Метод проверки почтового трафика: § Проверка антиспамом и антивирусом Entensys – проверяет почтовый трафик на наличие спама и вирусов § Проверка антивирусом Kaspersky – антивирусная проверка с помощью движка Касперского § DNSBL – антиспам-проверка с помощью технологии DNSBL. Применима только к SMTPтрафику. При проверке почтового трафика с помощью DNSBL, IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам и вирусы Проверка Заголовок Поле, куда помещать тег маркировки Маркировка Текст тега, который маркирует письмо Источник Зона и IP-адреса источника трафика Пользователи Пользователи или группы пользователей, к которым применяется данное правило Назначение Зона и IP-адреса назначения трафика Сервис Выберите к какому почтовому протоколу (POP3 или SMTP) будет применено данное правило Entensys | Administrator's Guide 91 Envelop from Почтовый адрес отправителя письма, указанный в поле Envelop from. Только для протокола SMTP Envelop to Почтовый адрес адресата письма, указанный в поле Envelop to. Только для протокола SMTP Рекомендуемые настройки защиты от спама следующие. Для протокола SMTP(S): § Первое правило в списке - блокировка с помощью DNSBL. Рекомендуется оставить списки исключений по Envelop from/Envelop to пустыми. В этом случае DNSBL будет отбрасывать подключения SMTP-серверов, замеченных в распространении спама, на этапе коннекта. При наличии e-mail адресатов в исключениях система будет вынуждена принимать сообщения целиком для анализа этих полей, что увеличит нагрузку на сервер и ухудшит производительность проверки почтового трафика § Второе правило - маркировка писем с помощью антиспама и антивируса Entensys. Здесь можно использовать любые исключения, в том числе и по Envelop from/Envelop to. Для протокола POP3(S): § Действие – Маркировать § Проверка – Антиспам и антивирус Entensys Entensys | Administrator's Guide 92 Оповещения Данный раздел позволяет определить профили оповещений, которые в дальнейшем можно использовать для отсылки оповещений о различных типах событий, например, высокая загрузка CPU или отправка пароля пользователю по SMS. Профили оповещений Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта: § SMTP, доставка сообщений с помощью Email § SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Оповещенияà Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля: Наименование Описание Название Название профиля Описание Описание профиля Хост IP-адрес сервера SMTP, который будет использоваться для отсылки почтовых сообщений Порт Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL – 465. Уточните данное значение у администратора почтового сервера SSL Использовать или нет шифрацию с помощью SSL Авторизация Включает авторизацию при подключении к SMTPсерверу Логин Имя учетной записи для подключения к SMTP-серверу Пароль Пароль учетной записи для подключения к SMTPсерверу Entensys | Administrator's Guide 93 Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Оповещенияà Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля: Наименование Описание Название Название профиля Описание Описание профиля Хост IP-адрес сервера SMPP, который будет использоваться для отсылки SMS сообщений Порт Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMTP с использованием SSL – 3550 SSL Использовать или нет шифрацию с помощью SSL Авторизация Включает авторизацию при подключении к SMPPсерверу Логин Имя учетной записи для подключения к SMPP-серверу Пароль Пароль учетной записи для подключения к SMPPсерверу Правила оповещений С помощью правил оповещений администратор может отсылать информацию об определенных событиях сервера UserGate UTM необходимым получателям. Для создания правила оповещений необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать один или несколько профилей оповещения Смотрите раздел ОповещенияàПрофили оповещений Entensys | Administrator's Guide 94 Шаг 2. Создать группы получателей оповещений Смотрите раздел Библиотеки элементовàПочтовые адреса и Библиотеки элементовàНомера телефонов Шаг 3. Создать правило оповещения В разделе ОповещенияàПравила оповещений добавить правило При добавлении правила необходимо указать следующие параметры: Наименование Описание Вкл Включает или отключает данное правило Название Название правила Описание Описание правила Профиль оповещения Выберите созданный ранее профиль оповещения. Для профилей SMPP появится закладка для указания адресатов в виде телефонных номеров, для SMTP появится закладка для указания адресатов в виде Emailадресов От Укажите от кого будет приходить оповещение Тема Укажите тему оповещения Таймаут перед повторной отправкой, секунд Укажите таймаут, который сервер будет ждать, при повторном срабатывании данного правила События Укажите события, для которых необходимо получать оповещения Телефоны Для SMPP-профиля. Укажите группы номеров телефонов, куда отправлять SMS-оповещения Emails Для SMTP-профиля. Укажите группы адресов Email, куда отправлять почтовые оповещения Entensys | Administrator's Guide 95 Библиотеки элементов Данный большой раздел содержит в себе все записи, адреса-сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UTM. Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются не редактируемыми потому, что поставляются и поддерживаются компанией Entensys. Библиотеки элементов, поставляемые компанией Entensys, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Установка лицензии. Морфология Морфологический анализ – механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется. Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. Получив ответ от веб-сервера, UserGate UTM просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, правило срабатывает. При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ UserGate UTM использует встроенные словари русского, английского, японского, арабского и немецкого языков. Существует возможность подписки на словари, предоставляемые компанией Entensys. Данные словари нельзя редактировать. Для использования этих словарей необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Установка лицензии. Наименование Описание Список материалов, запрещенных Министерством Юстиции Российской Федерации Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции Российской Федерации Суицид Морфологический словарь, содержащий перечень слов и фраз суицидальной направленности Терроризм Морфологический словарь, содержащий перечень слов и фраз террористической направленности Entensys | Administrator's Guide 96 Нецензурные выражения Морфологический словарь, содержащий перечень слов и фраз нецензурных выражений Азартные игры Морфологический словарь, содержащий перечень слов и фраз азартных игр Наркотики Морфологический словарь, содержащий перечень слов и фраз наркотической направленности Защита детей ФЗ-436 Морфологический словарь, содержащий перечень слов и фраз тематик, нежелательных для детей Порнография Морфологический словарь, содержащий перечень слов и фраз порнографической направленности Для фильтрации по морфологическому содержанию страницы требуется: Наименование Описание Шаг 1. Создать одну или несколько морфологических категорий и указать вес каждой категории Нажмите на кнопку Добавить, задайте название новой категории и ее вес Шаг 2. Указать список запрещенных фраз с весами Нажмите на кнопку Добавить и укажите необходимые слова или фразы. При добавлении слова в морфологический словарь, можно использовать модификатор «!» перед словом, например «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки Шаг 3. Создать правило фильтрации контента, содержащее одну или несколько морфологических категорий Смотрите раздел Фильтрация контента Администратор имеет возможность создать свой словарь и централизованно распространять его на все компьютеры с установленным UserGate UTM. Для создания такой морфологической базы необходимо выполнить следующие действия: Entensys | Administrator's Guide 97 Наименование Описание создать файл list.txt со списком слов в следующем формате: !word1 !word2 !word3 Шаг 1. Создать файл с необходимыми фразами word4 50 … Lastword Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100 Шаг 2. Создать архив, содержащий этот файл Поместить файл в архив zip с именем list.zip Шаг 3. Создать файл с версией словаря Создать файл version.txt, внутри него указать номер версии базы, например 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря Шаг 4. Разместить файлы на веб-сервере Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания Шаг 5. Создать морфологическую категорию указать URL для обновления словаря На каждом UserGate UTM создать морфологическую базу. При создании указать адрес, откуда необходимо загружать обновления. UTM будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять словарь при наличии новой версии Важно! При создании морфологических словарей не рекомендуется добавлять фразы, содержащие более трех слов, без использования символа «!» перед словами. Необходимо помнить, что при построении морфологической базы каждое из слов будет преобразовано во все существующие формы (склонения, спряжения, множественные числа, времена и т.д.), и результирующее количество фраз будет достаточно большим. При добавлении длинных фраз необходимо использовать модификатор «!» перед словами, модификация которых не нужна, как правило это различные предлоги и союзы. Например, фразу «как уйти из жизни безболезненно» правильно добавить в виде «!как уйти !из !жизни безболезненно». Это сократит количество возможных вариантов фраз, но при этом оставит все фразы с требуемым смыслом. Entensys | Administrator's Guide 98 Сервисы Раздел сервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил UTM. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать сервис Нажать на кнопку Добавить, дать название сервису и комментарий Шаг 2. Указать протокол и порт Нажать на кнопку Добавить, выбрать из списка необходимый протокол и указать порт IP-адреса Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил UTM. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать список Нажать на кнопку Добавить, дать название списку IPадресов Шаг 2. Указать адрес обновления списка (не обязательно) Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе Шаг 3. Добавить IPадреса Нажать на кнопку Добавить и ввести адреса. Адреса вводятся в виде IP-адрес или IP-адрес/маска сети, например, 192.168.1.5 192.168.1.0/24 Администратор имеет возможность создать свои списки IP-адресов и централизованно распространять их на все компьютеры с установленным UserGate UTM. Для создания такого списка необходимо выполнить следующие действия: Entensys | Administrator's Guide 99 Наименование Описание Шаг 1. Создать файл с необходимыми IPадресами Создать файл list.txt со списком адресов Шаг 2. Создать архив, содержащий этот файл Поместить файл в архив zip с именем list.zip Шаг 3. Создать файл с версией списка Создать файл version.txt, внутри него указать номер версии списка, например 3. Необходимо инкрементировать данное значение при каждом обновлении списка Шаг 4. Разместить файлы на веб-сервере Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания Шаг 5. Создать список IP-адресов и указать URL для обновления На каждом UserGate UTM создать список IP-адресов. При создании указать адрес, откуда необходимо загружать обновления. UTM будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии Типы контента С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc. Существует возможность подписки на типы контента, предоставляемые компанией Entensys. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Установка лицензии. Для фильтрации по типу контента необходимо выполнить следующие действия: Наименование Описание Шаг 1. Создать список типов контента или выбрать из предопределенного листа Entensys или; Нажмите на кнопку Добавить, задайте название нового списка типа контента Entensys | Administrator's Guide 100 Шаг 2. Добавить необходимые MIMEтипы в новый список Добавить необходимый тип контента в данный список в формате MIME. Различные типы MIME описаны в интернете, например здесь - http://www.webmastertoolkit.com/mime-types.shtml. Например, для блокировки документов типа *.doc необходимо добавить MIME-тип «application/msword» Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков Смотрите раздел Фильтрация контента Администратор имеет возможность создать свои списки типов контента и централизованно распространять их на все компьютеры с установленным UserGate UTM. Для создания такого списка необходимо выполнить следующие действия: Наименование Описание Шаг 1. Создать файл с необходимыми типами контента Создать файл list.txt со списком типов контента Шаг 2. Создать архив, содержащий этот файл Поместить файл в архив zip с именем list.zip Шаг 3. Создать файл с версией списка Создать файл version.txt, внутри него указать номер версии списка, например 3. Необходимо инкрементировать данное значение при каждом обновлении списка Шаг 4. Разместить файлы на веб-сервере Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания Шаг 5. Создать список типа контента и указать URL для обновления На каждом UserGate UTM создать список типа контента. При создании указать адрес, откуда необходимо загружать обновления. UTM будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии Списки URL Entensys | Administrator's Guide 101 Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков. Компания Entensys предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Установка лицензии. Наименование Описание Черный список Entensys Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации Фишинговый Черный список Entensys Данный список содержит URL фишинговых сайтов Белый список Entensys Данный список содержит URL доверенных сайтов и порталов Поисковые системы без безопасного поиска Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля Черный список Роскомнадзора Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru Черный список URL Республики Казахстан Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан Для фильтрации с помощью списков URL необходимо выполнить следующие действия: Наименование Описание Шаг 1. Создать список URL Нажмите на кнопку Добавить, задайте название нового списка Entensys | Administrator's Guide 102 Добавьте записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»: Шаг 2. Добавить необходимые записи в новый список «*» – любое количество любых символов «^» – начало строки «$» – конец строки Символы «?» и «#» не могут быть использованы Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков Смотрите раздел Фильтрация контента Если URL-запись начинается с «http://» или «https://» или содержит один или более символов «/», то это считается url и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNSфильтрации и HTTP(S)-фильтрации. Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»: «^http://domain.com/exacturl$» Для блокирования точного URL всех дочерних папок используйте символ «^»: «^http://domain.com/exacturl/» Для блокирования домена со всеми возможными URL используйте запись такого вида: «domain.com» Entensys | Administrator's Guide 103 Пример интерпретации URL-записей: Пример записи Обработка DNS- запросов Обработка HTTP-запросов yahoo.com или *yahoo.com* Блокируется весь домен и домены 3 уровня, например: sport.yahoo.com mail.yahoo.com а также: qweryahoo.com блокируется весь домен и все URL этого домена и домены 3 уровня, например: http://sport.yahoo.com http://mail.yahoo.com https://mail.yahoo.com http://sport.yahoo.com/123 ^*.yahoo.com$ Блокируются домены 3 уровня, например: sport.yahoo.com mail.yahoo.com ^mail.yahoo.com $ Заблокирован только mail.yahoo.com ^mail.yahoo.com/ $ Ничего не заблокировано ^http://finance.ya hoo.com/personal -finance/$ Ничего не заблокировано ^yahoo.com/1234 5/ Ничего не заблокировано whatever.yahoo.com заблокирован, например: http://sport.yahoo.com заблокирован http://mail.yahoo.com заблокирован https://mail.yahoo.com заблокирован http://sport.yahoo.com/123 – не заблокирован http://yahoo.com – не заблокирован заблокированы только http://mail.yahoo.com https://mail.yahoo.com Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http» заблокирован только http://finance.yahoo.com/person al-finance/ заблокированы http://yahoo.com/12345/whateve r/ https://yahoo.com/12345/whatev er/ Администратор имеет возможность создавать собственные списки и централизованно распространять его на все компьютеры с установленным UserGate UTM. Для создания таких списков необходимо выполнить следующие действия: Наименование Entensys | Administrator's Guide Описание 104 Создать текстовый файл list.txt со списком URL в следующем формате: Шаг 1. Создать файл с необходимыми списком URL www.site1.com/url1 www.site2.com/url2 … www.siteend.com/urlN Шаг 2. Создать архив, содержащий этот файл Поместить файл в архив zip с именем list.zip Шаг 3. Создать файл с версией списка Создать файл version.txt, внутри него указать номер версии списка, например 3. Необходимо инкрементировать данное значение при каждом обновлении списка Шаг 4. Разместить файлы на веб-сервере Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания Шаг 5. Создать список типа контента и указать URL для обновления На каждом UserGate UTM создать список URL. При создании указать адрес, откуда необходимо загружать обновления. UTM будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии Календари Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах UTM. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать календарь Нажать на кнопку Добавить, дать название календарю Шаг 2. Добавить временные интервалы в календарь Нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время Entensys | Administrator's Guide 105 Полосы пропускания Элемент библиотеки Полоса пропускания определяет скорость передачи данных, которую возможно в дальнейшем использовать в правилах управления полосой пропускания. Более подробно о правилах управления Полосой пропускания смотрите в главе Пропускная способность. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления новой Полосы пропускания необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать полосу пропускания Нажать на кнопку Добавить, дать название, описание Шаг 2. Указать скорость Указать скорость в Кбит/сек Шаблоны страниц С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала. UserGate UTM поставляется с тремя типами шаблонов – шаблоны для Captive-портала, шаблоны контроля сессии пользователя и шаблоны для страницы блокировки. Они могут использованы как образцы для создания пользовательских шаблонов, например, в фирменном стиле компании или на необходимом языке. Наименование Описание Шаблоны Blockpage (EN) и Blockpage (RU) Стандартные шаблоны блокировки на английском и русском языках Шаблоны Captive portal user auth (EN) и Captive portal user auth (RU) Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль). При успешной авторизации пользователь получает доступ в интернет Шаблоны Captive portal user auth + policy (EN) Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя Entensys | Administrator's Guide 106 и Captive portal user auth + policy (RU) (имя и пароль), правила пользования сетью (соглашение об использовании), а так же требует принятия пользователем правил политики доступа. При успешной авторизации пользователь получает доступ в интернет. Шаблоны Captive portal: email auth (EN) и Captive portal: email auth (RU) Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя письмом по Email. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле Шаблон Captive portal: SMS auth (EN) и Captive portal: SMS auth (RU) Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя с помощью SMS. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле Шаблон Captive portal policy (EN) и Captive portal policy (RU) Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон не требует ввода имени и пароля пользователя, а выводит правила пользования сетью (соглашение об использовании) и требует принятия пользователем правил политики доступа. При согласии с политикой доступа пользователь получает доступ в интернет. Для работы данного шаблона требуется установить метод Принять политику в качестве метода аутентификации в Captive-профиле Шаблоны Captive portal user session (EN) и Captive portal user session (RU) Шаблоны на английском и русском языках, с помощью которых пользователь может завершить свою авторизованную сессию, перейдя на страницу http://logout.captive или http://UTM_IP/cps Для создания собственного шаблона необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Экспортировать существующий шаблон, поставляемый по умолчанию Выбрать один из существующих шаблонов, нажать на кнопку Экспорт и сохранить шаблон в файле Entensys | Administrator's Guide 107 Шаг 2. Изменить экспортированный шаблон Используя редактор, изменить содержание шаблона. Не рекомендуется использовать специальные редакторы, предназначенные для редактирования html-файлов, поскольку они могут испортить внутреннюю структуру шаблона. Используйте простые редакторы текста Шаг 3. Создать новый шаблон Нажать на кнопку Добавить, выбрать соответствующий тип шаблона, задать название шаблону и сохранить его Шаг 4. Импортировать измененный на шаге 2 шаблон Выделить вновь созданный шаблон, нажать на кнопку Импорт и выбрать файл с измененным шаблоном Категории URL Элемент библиотеки Категория URL позволяет создать группы категорий Entensys URL Filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории. Для использования категорий Entensys URL Filtering требуется наличие специальной лицензии. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Наименование Описание Threats Набор категорий, рекомендованных для блокировки для обеспечения безопасности сети Parental Control Набор категорий, рекомендованных для блокировки для защиты детей от нежелательного контента Productivity Набор категорий, рекомендованных для блокировки для повышения эффективности работы сотрудников All categories Группа, включающая в себя все категории Safe categories Набор категорий, считаемых безопасными для посещения. Рекомендуется отключать морфологическую проверку, перехват HTTPS-трафика Entensys | Administrator's Guide 108 для данной группы категорий для уменьшения количества ложных срабатываний Recommended for morphology checking Набор категорий, рекомендованных для проверки с помощью морфологического анализа. Из этого набора исключены такие категории как Новости, Финансы, Правительство, Информационная безопасность, Детские сайты и ряд других для уменьшения количества ложных срабатываний. Этот же набор категорий рекомендуется использовать для перехвата трафика HTTPS Для добавления новой группы категорий необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать группу категорий Нажать на кнопку Добавить, дать название группе Шаг 2. Добавить категории Нажать на кнопку Добавить и выбрать необходимые категории из списка Приложения Элемент библиотеки Приложения позволяет создать группы приложений для более удобного использования в правилах межсетевого экрана и в правилах пропускной способности. Например, администратор может создать группу приложений «Бизнес приложения» и поместить в нее необходимые приложения. Для добавления новой группы приложений необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать группу приложений Нажать на кнопку Добавить, дать название группе Шаг 2. Добавить приложения Нажать на кнопку Добавить и выбрать необходимые приложения из списка Почтовые адреса Entensys | Administrator's Guide 109 Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях. Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать группу почтовых адресов Нажать на кнопку Добавить, дать название группе Шаг 2. Добавить почтовые адреса в группу Нажать на кнопку Добавить и добавить необходимые почтовые адреса Номера телефонов Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP. Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги: Наименование Описание Шаг 1. Создать группу телефонных номеров Нажать на кнопку Добавить, дать название группе Шаг 2. Добавить номера телефонов в группу Нажать на кнопку Добавить и добавить необходимые номера Entensys | Administrator's Guide 110 Статистика Раздел веб-консоли статистика предоставляет информацию о состоянии устройства во времени близком к реальному. Вся информация представлена в виде трех разделов – мониторинг, статистика и журналы. Сервер статистики по умолчанию расположен на том же сервере UserGate UTM, но может быть установлен отдельно. Отдельный сервер статистики дает следующие преимущества: § Более высокая производительность сервера UserGate UTM § Единая статистика для всех узлов кластера Установка сервера статистики на выделенный сервер рассматривается следующих главах. Мониторинг Мониторинг сети В данном разделе отображаются все сетевые соединения, установленные через UserGate UTM. Администратор может установить фильтр на отображение событий, например, по протоколу (TCP/UDP/ICMP), по состоянию TCP (ESTABLESHED, SYS_SENT и другие). Администратор может активировать автоматическое обновление отображаемых данных или использовать кнопку Обновить для ручного обновления данных. Здесь же можно заблокировать определенный IP-адрес по всем протоколам, выделив запись и нажав на кнопку Заблокировать IP-адрес источника. В этом случае будет создано правило межсетевого экрана и помещено на самый верх списка правил, которое заблокирует любой тип трафика с указанного IP-адреса. Для того чтобы разрешить трафик для заблокированного IP-адреса, необходимо удалить или отключить созданное правило в разделе Межсетевой экран. Трафик Данный раздел отображает накапливаемую статистику потребления трафика по пользователям UserGate UTM. Данные предоставляются за разные промежутки времени. Администратор может выбрать интересующий его сетевой интерфейс и/или учетную запись пользователя, для которых выводить информацию по использованному трафику. Статистика Отчеты контентной фильтрации Данный раздел позволяет просматривать статистику использования сети Интернет по группам, по пользователям, по доменам, по категориям сайтов, по морфологическим базам, по сработавшим правилам и причинам блокировки. Администратор может выбрать интересующий его диапазон дат, Entensys | Administrator's Guide 111 пользователя и создать отчет. Кроме этого, отчеты могут быть выгружены в табличном виде или напечатаны на принтере. Журнал правил В разделе «Журнал правил» отображаются все сработавшие правила контентной фильтрации. Для отображения правил в статистике необходимо включить опцию «Логирование» в каждом правиле. Отображается следующая информация: Наименование Описание Направление Стрелки отображают, является ли сработавшее правило запросом от пользователя или ответом от сервера Действие Блокировка, предупреждение или журналирование. Более подробно смотрите в разделе Фильтрация контента Пользователь Имя пользователя и его IP-адрес Правило Название сработавшего правила Морфология Категория морфологии, по которой сработало правило Категория Категория, Entensys URL filtering, по которой сработало правило URL Url ресурса Операционная система пользователя Windows, MacOSX, Linux, Android, Windows mobile, iOS Браузер Браузер, используемый пользователем Администратор может применять различные фильтры для более удобного отображения сработавших правил, например, показать все сработавшие правила для определенной учетной записи, домена, правила, направлению запроса, действия. Кроме этого, администратор может просматривать данный журнал По вебсайтам – отображаются только запросы и ответы от браузеров пользователей или По доменам – отображаются запросы и ответы от всех устройств и программ. Entensys | Administrator's Guide 112 История поиска В разделе «История поиска » отображаются все поисковые запросы пользователей, для которых настроено журналирование в политиках веб-безопасности. Журналы Данный раздел предоставляет доступ к различным журналам, которые ведет UserGate UTM. Журнал событий Журнал событий отображает события, связанные с изменением настроек сервера UserGate UTM, например, добавление/удаление/изменение данных учетной записи, правила или любого другого элемента. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал и другие. Для удобства поиска необходимых событий, события могут быть отфильтрованы по компоненту, например, аккаунты и группы, межсетевой экран, captive-портал, а так же по важности, например, критичные, ошибки, предупреждения, информационные. Журнал трафика Журнал трафика отображает события срабатывания правил межсетевого экрана или правил NAT, в настройках которых включено логирование пакетов. Отображаются время события, действие, например, NAT, ACCEPT, DROP, входящий и исходящий сетевые интерфейсы, MAC и IP-адреса источника, IP-адрес назначения, информация о протоколе и другая информация. Имеется возможность скачать журнал для дальнейшего анализа или хранения. Настройки ротации журналов смотрите в главе Общие настройки. Возможности автоматической выгрузки журналов на внешние серверы детально описаны в главе Экспорт журналов. Журнал СОВ Журнал системы обнаружения вторжений отображает сработавшие сигнатуры СОВ, для которых установлено действие журналировать или блокировать. Отображаются время события, название сигнатуры, IP-адреса источника и назначения, информация о протоколе и другая информация. Имеется возможность скачать журнал для дальнейшего анализа или хранения. Настройки ротации журналов смотрите в главе Общие настройки. Возможности автоматической выгрузки журналов на внешние серверы детально описаны в главе Экспорт журналов. Entensys | Administrator's Guide 113 Журнал веб-доступа Журнал веб-доступа отображает все запросы пользователей в интернет по протоколам http и https. Отображаются время события, результат действия, URL назначения, метод HTTP и другая информация. Имеется возможность скачать журнал для дальнейшего анализа или хранения. Настройки ротации журналов смотрите в главе Общие настройки. Возможности автоматической выгрузки журналов на внешние серверы детально описаны в главе Экспорт журналов. Установка внешнего сервера статистики Отдельный сервер статистики позволяет увеличить производительность UserGate UTM и иметь консолидированную отчетность по всем узлам кластера. Рекомендуется устанавливать выделенный сервер статистики для всех случаев использования UserGate UTM в кластерном режиме, а так же в случаях нагрузки на сервер, близкой к предельно допустимой. Для установки выделенного сервера статистики необходимо выполнить следующие шаги: Наименование Описание Минимальные требования к серверу статистики: Шаг 1. Выбрать подходящий сервер Шаг 2. Установить на сервер операционную систему Ubuntu server 14.04 x64 § 4-ядерный процессор § 8 Гбайт оперативной памяти § 1 Тбайт дисковой памяти Обратитесь к справочному руководству по операционной системе Ubuntu В консоли Linux выполните следующие команды: Шаг 3. Установить программное обеспечение сервера статистики echo 'deb http://dc.entensys.com/ubuntu trusty extra' | sudo tee -a /etc/apt/sources.list wget http://dc.entensys.com/ubuntu/entensys.gpg -O - | sudo apt-key add sudo apt-get update sudo apt-get install utm-statistics Шаг 4. Узнать токен, необходимый для Entensys | Administrator's Guide В консоли Linux выполните следующую команду: cat /opt/entensys/etc/utmstat_auth.cfg 114 подключения к этому серверу статистики Результат работы этой команды будет выглядеть примерно следующим образом: {token, "dL6dd6V0XZOzBYeTLil20s8d2TeXno5k"}. {port, 22699}. Длинная строка в кавычках и является токеном Шаг 5. Настроить UserGate UTM для использования с внешним сервером статистики Entensys | Administrator's Guide В веб-консоли UserGate UTM в разделе НастройкиСтатистика укажите IP-адрес нового сервера в поле Сервер статистики и полученный на предыдущем шаге токен в поле Пароль 115 Техническая поддержка Раздел технической поддержки на сайте компании http://www.usergate.ru/support содержит дополнительную информацию по настройке UserGate UTM. Кроме этого, здесь же Вы можете оставить заявку на решение вашей проблемы. Entensys | Administrator's Guide 116 Приложение 1. Установка сертификата локального удостоверяющего центра Скачайте сертификат центра авторизации, который вы используете для перехвата HTTPS- трафика, как это описано в главе Управление сертификатами, и следуйте инструкциям по установке сертификата ниже в этом разделе. Установка сертификата в браузеры Internet Explorer, Chrome в ОС Windows Откройте папку, куда вы скачали pem-сертификат, переименуйте его в user.der и дважды кликните по нему: Entensys | Administrator's Guide 117 Откроется информация о сертификате. Нажмите на кнопку «Установить сертификат»: Entensys | Administrator's Guide 118 Запустится мастер импорта сертификатов. Выполните импорт, следуя всем рекомендациям, предлагаемым мастером импорта сертификатов: Выберите хранилище сертификата и нажмите кнопку «Обзор»: Entensys | Administrator's Guide 119 Выберите «Доверенные корневые центры сертификации» и нажмите кнопку «ОК»: Нажмите кнопку «Готово»: Entensys | Administrator's Guide 120 Когда появится предупреждение системы безопасности, нажмите кнопку «Да»: Установка сертификата завершена. Entensys | Administrator's Guide 121 Установка сертификата в браузер Safari, Chrome в ОС MacOSX Перейдите в папку, куда вы скачали pem-сертификат и дважды кликните по нему: Запустится программа «Связка ключей». Выберите «Всегда доверять данному сертификату»: Введите свой пароль для подтверждения данной операции: Entensys | Administrator's Guide 122 Сертификат установлен. Entensys | Administrator's Guide 123 Установка сертификата в браузер Firefox Установка сертификата в браузер Firefox выполняется аналогично для всех операционных систем. Рассмотрим установку на примере ОС Windows. Откройте настройки браузера Firefox (ИнструментыàНастройки): Перейдите в раздел «Дополнительные» и выберите закладку «Сертификаты». Кликните по кнопке «Просмотр сертификатов»: Entensys | Administrator's Guide 124 Нажмите кнопку «Импортировать» и укажите путь к скачанному pem-сертификату: Entensys | Administrator's Guide 125 Установите галочку «Доверять при идентификации веб-сайтов» и нажмите «OK»: Установка сертификата завершена. Entensys | Administrator's Guide 126 Приложение №2. Таблица соответствия категорий, указанных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений, с категориями Entensys URL Filtering 3.0. Категории Министерства Образования РФ Категории Entensys URL Filtering 3.0 Peer-To-Peer Пиринговые сети Алкоголь. Реклама алкоголя, пропаганда потребления алкоголя. Сайты компаний, производящих алкогольную продукцию Алкоголь и табак Баннеры и рекламные программы Баннерные сети, всплывающая реклама, рекламные программы Реклама и всплывающие окна Библиотеки Искусство Вождение и автомобили Транспорт Вредоносное программное обеспечение Нелегальное ПО Ботнеты Сайты сомнительного содержания Вредоносное ПО Вредоносные программы Сетевые ошибки Фишинг и мошенничество Спам-сайты Хакерство Досуг и развлечение Entensys | Administrator's Guide Поздравительные открытки 127 Развлечения Мода и красота Отдых и оздоровление Рестораны и еда Спорт Путешествия Здоровье и медицина Здоровье и медицина Половое воспитание Злоупотребление свободой СМИ – информация с ограниченным доступом. Сведения о специальных средствах, технических приемах и тактике проведения контртеррористических операций Оружие Злоупотребление свободой СМИ – информация, содержащая скрытые вставки и иные технические способы воздействия на под-104№ п/п Тематическая категория Содержание скрытое воздействие сознание людей и (или) оказывающая вредное влияние на их здоровье Сайты сомнительного содержания Злоупотребление свободой СМИ – наркотические средства, сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда какихлибо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров Злоупотребление свободой СМИ – экстремизм Информация, содержащая Entensys | Administrator's Guide Ненависть и нетерпение Насилие Ненависть и нетерпение 128 публичные призывы к осуществлению террористической деятельности, оправдывающая терроризм, содержащая другие экстремистские материалы Насилие Знакомства Знакомства Информация с ограниченным доступом. Информация, составляющая государственную или иную охраняемую законом тайну Политика Информация, пропагандирующая порнографию Компьютерные игры Правительство Порнография и насилие Игры Бизнес Финансы Корпоративные сайты Общие Недвижимость Корпоративные сайты, интернетпредставительства негосударственных учреждений Некоммерческие и неправительственные организации Персональные сайты Личная и немодерируемая информация. Немодерируемые форумы, доски объявлений и конференции, гостевые книги, базы данных, содержащие личную информацию (адреса, телефоны и т. п.), личные странички, дневники, блоги Частные IP-адреса Социальные сети Потоковое мультимедиа и загрузки Веб-почта Социальные сети Entensys | Administrator's Guide 129 Модерируемые доски объявлений (ресурсы данной категории, содержащие информацию, не имеющую отношения к образовательному процессу, модерируемые доски сообщений/объявлений, а также модерируемые чаты Чаты Наркотические средства. Сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда какихлибо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров Наркотики Нелегальная помощь школьникам и студентам. Банки готовых рефератов, эссе, дипломных работ и пр. Школьные мошенничества Ненадлежащая реклама. Информация, содержащая рекламу алкогольной продукции и табачных изделий Алкоголь и табак Неприличный и грубый юмор. Неэтичные анекдоты и шутки, в частности обыгрывающие особенности физиологии человека Сайты сомнительного содержания Нижнее белье, купальники Нудизм Обеспечение анонимности пользователя, обход контентных фильтров. Сайты, предлагающие инструкции по обходу прокси и доступу к запрещенным страницам Анонимайзеры Образовательные ресурсы Образование Онлайн-казино и тотализаторы Азартные игры Отправка SMS с использованием интернетресурсов. Сайты, предлагающие услуги по отправке SMS-сообщений Entensys | Administrator's Guide Переводчики Реклама и всплывающие окна 130 Платные сайты Паркованные домены Поиск работы, резюме, вакансии Поиск работы Преступления – Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию) Преступная деятельность Преступления-клевета, экстремизм Преступная деятельность Компьютеры и технологии Программное обеспечение Нелегальное ПО Информационная безопасность Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения. Информация, направленная на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды; информация, пропагандирующая порнографию, культ насилия и жестокости, наркоманию, токсикоманию, антиобщественное поведение Ненависть и нетерпение Религиозные культы Религии и атеизм Религия Обмен картинками Система поиска изображений Поисковые системы и порталы Форумы и новостные ленты СМИ Новости Табак, реклама табака, пропаганда потребления табака. Сайты, Entensys | Administrator's Guide Алкоголь и табак 131 пропагандирующие потребление табака; реклама табака и изделий из него Реклама и всплывающие окна Торговля и реклама Покупки Жестокое обращение с детьми Убийства, насилие Насилие Чаты Чаты Сервисы мгновенных сообщений Экстремистские материалы или экстремистская деятельность (экстремизм) Entensys | Administrator's Guide Ненависть и нетерпение 132